Безопасность в разработке ПО. Модель угроз Для построения модели нарушителя необходимо обратиться к существующим практикам.

Презентация:



Advertisements
Похожие презентации
Обучение на ошибках Что привело к ошибке? Повторяется ли эта ошибка в других частях кода? Как можно было предотвратить возникновение ошибки? Как можно.
Advertisements

Клиент банка под атакой © 2009, Digital Security.
Многоуровневое мандатное управление доступом в многооконной графической среде ОС класса Linux Авторы: к.т.н., доцент Д. В. Ефанов * аспирант кафедры 36.
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
Эффективность в каждом решении Управление разработкой Корпоративного портала: как грамотно выстроить работу с подрядчиком.
Архитектура операционных систем. Архитектура ОС Состав модулей (компонент) ОС Структура связей между отдельными модулями ОС Принципы взаимодействия модулей.
Архитектура операционных систем Семестр 2, Лекция 1.
Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности.
К построению и контролю соблюдения политик безопасности распределенных компьютерных систем на основе механизмов доверия А. А. Иткес В. Б. Савкин Институт.
Компьютерная безопасность: современные технологии и математические методы защиты информации.
8.4. Функциональные требования к IT-продукту. Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования,
Методология проектирования RAD МДК Раздел 1.
Разработка учебно-лабораторного стенда для проведения тестов на проникновение в типовую корпоративную локально- вычислительную сеть предприятия Научный.
Системный аудит и оценка рисков информационной безопасности.
Тестирование программных средств Сафронов Сергей, 2008 год.
Стильный, яркий, удобный! Не требует базы данных; Есть поиск; Автоматическая карта сайта; Возможность создания вложенных меню.
Коробочное решение для защиты электронного документооборота Андрей ШАРОВ Электронные Офисные Системы 2007.
Обучение Microsoft ® Office ® 2010 Безопасность Office 2010: защита файлов.
Программа развития ОУ Халудорова Л.Е., к.п.н., доцент.
Транксрипт:

Безопасность в разработке ПО

Модель угроз Для построения модели нарушителя необходимо обратиться к существующим практикам

Определение совместимости со старыми версиями Старое ПО никогда не умирает, оно становится не безопасным. Тем не менее его могут использовать и необходимо предусмотреть соместимость

Стратегия SD3 Secure: by Design by Default In Deployment

Secure by Design Назначьте ответственного за безопасность Требуется обучение всего персонала по вопросам безопасности Убедитесь, что в проекте учитывается модель угроз Придерживайтесь принципов программирования отраженных в инструкциях проекта. Исправляйте код который отличается от принципов проекта, как можно быстрее. Необходимо развивать принципы безопасности проекта и модель угроз вместе с проектом. Разработайте тесты включающие уже ранее обнаруженные уязвимости. При этом надо учитывать, что схожие уязвимости могут быть в других модулях

Secure by Design Упрощение кода позволяет упрощать модель безопасности. Проведите тест на проникновение до выпуска релиза. Принципиально модно проводить тест по двум сценариям: Привлечение сторонних специалистов Собственными силами

Secure by Default Не запускайте все сервисы по умолчанию. Предоставьте пользователю простой механизм управления запущенными сервисами. Оставьте запуск по умолчанию только наиболее часто используемые. Соблюдайте принцип минимальных привилегий. Применяйте механизмы защиты для критических ресурсов и данных.

Secure in Deployment Убедитесь, что у администратора имеется простой способ убедиться в безопасности приложения. Разрабатывайте хорошие исправления безопасности, потратьте дополнительное время на тестирование исправлений. Дайте информацию пользователю как использовать Вашу систему в безопасном режиме. Это может быть специальные сообщения или разделы справки.

Принципы безопасности Учитесь на ошибках Минимизируйте зависимость от атак Используйте многоуровневую защиту Используйте принцип минимальных привилегий Применяйте безопасные настройки по умолчанию Помните, что обратная совместимость всегда порождает проблемы Учитывайте, что внешние системы небезопасны Разработайте план устранения сбоев

Принципы безопасности Помните, что наличие функций безопасных не обеспечивает безопасность системы Никогда не обеспечиваете безопасность за счет сокрытия Не смешивайте код и данные Исправляйте корректно ошибки безопасности