Безопасная разработка программных продуктов
в рамках работы в Enterprise сегменте.
ИБ – это не только регуляторка и подготовка документов. По крайней мере так должно быть.
Есть стандарты и подходы, которые помогают подойти к этой теме системно. Можно разбить область на следующие классы:
- Модель зрелости, применяется для оценки состояния прямо сейчас
- Отраслевой стандарт или регламент. Необходимо полное соответствие.
- Полноценный фреймворк, который описывает и зрелость и требования и набор действий для достижения желаемого результата.
BSIMM
BSIMM (Building Security In Maturity Model) — это исследовательский проект, который описывает общие практики безопасности разработки в различных организациях. Это модель зрелости, а не стандартная методология.
Основные моменты:
- На основе данных: BSIMM создан на основе наблюдений и анализа реальных программ безопасности в различных компаниях.
- Модель зрелости: Оценка текущего состояния программы безопасности и сравнение с другими организациями.
- 12 практик: BSIMM охватывает 12 практик, разделенных на 4 домена: управление, интеллект, строительство и развертывание.
OWASP SAMM
OWASP SAMM (Software Assurance Maturity Model) — это открытая модель зрелости обеспечения безопасности программного обеспечения от OWASP. Предлагает рамки для оценки и улучшения процессов безопасности разработки ПО.
Основные моменты:
- Пространственно-ориентированный: SAMM разделяет область безопасности программного обеспечения на несколько бизнес-функций и связанных с ними практик безопасности.
- Модель зрелости: Предоставляет несколько уровней зрелости для каждой практики, позволяя организациям постепенно улучшать свои процессы.
- Независимая и открытая: Разработана сообществом и доступна для свободного использования.
Microsoft SDL
Microsoft SDL (Security Development Lifecycle) — это подход к разработке ПО, ориентированный на безопасность, который включает в себя процессы, рекомендации и инструменты для создания безопасного кода. Является одним из самых “проверенных”.
Основные моменты:
- Фазоориентированный подход: SDL делит процесс разработки на конкретные этапы, на каждом из которых применяются практики безопасности.
- Обучение: Тренинг для разработчиков по безопасному кодированию.
- Проверка кода: Используются инструменты статического и динамического анализа.
- Тестирование безопасности: Фазз-тестирование, пентесты (penetration test, пенетрейшн тест) и другие методы.
- Ответ на инциденты: Стратегии реагирования на угрозы и уязвимости после выпуска продукта.
PCI-DSS
PCI-DSS, или Стандарт безопасности данных индустрии платёжных карт, это набор требований, предназначенных для обеспечения безопасного обращения с данными держателей карт. Эти стандарты были разработаны совместными усилиями основных платёжных систем, таких как Visa, MasterCard, American Express, Discover и JCB, для защиты конфиденциальности и обеспечения безопасности данных клиентов при проведении платежей картами.
Основные моменты:
- Защита данных держателя карты: Требует, чтобы все данные, относящиеся к держателю карты, хранились, передавались и обрабатывались безопасным способом.
- Создание и поддержка защищённой сети: Включает установку и поддержку брандмауэров для защиты данных.
- Управление уязвимостями: Требует регулярного обновления антивирусных программ и проведения оценки уязвимостей.
- Сильный контроль доступа: Ограничение доступа к данным держателя карты на основе бизнес-необходимости.
- Мониторинг и тестирование сетей: Регулярное тестирование безопасности систем.
- Политика информационной безопасности: Разработка и поддержка политики, которая защищает данные держателя карты.
GDPR (General Data Protection Regulation):
GDPR (General Data Protection Regulation) — это регламент Европейского союза по защите персональных данных. Он касается защиты и свободного перемещения личных данных внутри ЕС.
Ключевые области
- Принципы обработки данных
- Права субъектов данных
- Обязанности контролеров и процессоров
- Передача данных в третьи страны
- Управление и наказания
ФЗ РФ № 152-ФЗ
Федеральный закон № 152-ФЗ “О персональных данных” — это закон регулирующий обработку и защиту персональных данных граждан РФ.
Ключевые области
- Принципы обработки персональных данных:
- Права субъектов данных:
- Обязанности операторов:
- Передача данных:
- Контроль и ответственность: