Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами. Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации. В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.

1. Сделать безопасно и
сертифицировано
М.А. Авдюнин
А.О. Босенко
Опыт создания приложений
для государственных органов РФ

2. Содержание презентации
Пара слов о безопасной разработке
С чего мы начинали
Вопросы сертификации
Сделать безопасно, сделать сертифицировано
Стандарты документирования

3. Основные этапы разработки
Модель жизненного цикла ПО – структура, определяющая последовательность
выполнения и взаимосвязи процессов, действий и задач на протяжении жизненного
цикла.
Стадия – часть процесса создания ПО, ограниченная определенным временными
рамками и заканчивающаяся выпуском конкретного продукта, определяемого
заданными для данной стадии требованиями.
Основные стадии жизненного цикла ПО (waterfall model):
Формирование требований
Проектирование
Реализация
Тестирование
Внедрение
Эксплуатация и сопровождение

4. Software Development Lifecycle (SDLC )

5. Безопасный код
Функции защиты Защищенные функции
КриптографияAccess Control List
Data Execution
Prevention
Address space layout randomization
Минимальные
привилегии
Защиты от
переполнения
Проверка входных данных
Контроль
входных
данных
Безопасный код ≠ безопасная разработка

6. Цель безопасной разработки — повышение качества продукта, защита пользователей:
Сокращение количества уязвимостей
Уменьшение критичности уязвимостей
Снижение риска реализации уязвимостей
Безопасная разработка = цикл
безопасной разработки

7. Безопасная разработка!
Безопасная разработка — это:
Практический подход
Определение и упреждение угроз
Решение проблем безопасности на ранних
стадиях
Безопасная реализация (безопасный код)
Безопасность после выпуска ПО

8. Подходы к безопасной разработке
Microsoft SDL OSSA (Oracle Software Security Assurance)
cSDL (Cisco SDL)
vSDL (VMware SDL)

9. Microsoft SDL
История развития
Результат — Практики MS SDL
Подготовительный этап. Обучение мерам
безопасности
Практика 1. Обучение основам
безопасности
Первый этап. Разработка требований
Практика 2. Задание требований
безопасности
Практика 3. Создание контрольных
условий качества и панели ошибок
Практика 4. Оценка рисков
безопасности и конфиденциальности
Второй этап. Проектирование
Практика 5. Задание требований
проектирования
Практика 6. Уменьшение количества
возможных направлений атак
Практика 7. Моделирование рисков
Третий этап. Реализация
Практика 8. Использование
утвержденных инструментов
Практика 9. Отказ от небезопасных
функций
Практика 10. Статический анализ
Четвертый этап. Проверка
Практика 11. Динамический анализ
программы
Практика 12. Нечеткое тестирование
(фаззинг)
Практика 13. Проверка модели рисков и
возможных направлений атак
Пятый этап. Выпуск
Практика 14. Планирование
реагирования на инциденты
Практика 15. Окончательная
проверка безопасности
Практика 16. Сертификация и
архивация релиза
Пост-SDL. Реагирование
Практика 17. Реагирование

10. Содержание презентации
Пара слов о безопасной разработке
С чего мы начинали
Вопросы сертификации
Сделать безопасно, сделать сертифицировано
Стандарты документирования

11. Тестирование на проникновение
Анализ трафика и конфигурационный анализ
Анализ кода приложений
Комплексный подход
Центр мониторинга ИБ
Этапы осознания проблемы
и цели работ

12. Исходные условия
Инструменты (nmap, nessus, metaspliot, burp,
intercepter…)
Методики и практики (OWASP, PTES…)
Ресурсы и блоги (exploit-db.com, securitylab.ru,
nmap.org, packetstormsecurity.com, twitter)
Личный опыт участников процесса
(исследователи/аналитики)
Желание попробовать что-то новое

13. К чему мы пришли?
• Обучение MS SDL
• Анализ рисков
• Построение поверхности атак
• Моделирование угроз
• Статический анализ
• Динамический анализ
• Актуализация поверхности атак
и модели угроз
• Тестирование на
проникновение
• Мониторинг уязвимостей

14. Центр мониторинга
Система мониторинга уязвимостей сторонних компонентов ПО
Мониторинг
уязвимостей
Сбор и анализ информации по
уязвимостям компонентов ПО
Выявление актуальных угроз в ПО и
оборудовании
Система
обработки
Регистрация уязвимостей,
идентификация, оповещение
Отслеживание жизненного цикла
уязвимостей в ПО, история
Визуализация управления уязвимостямиИсточники
• Информационные
системы
• Компоненты ПО
Серверы
АРМ
Аналитика
уязвимостей ПО
Интернет
Степень
уязвимости
Январь-май
2015, шт
Критическая 65
Высокая 165
Средняя 72
Низкая 2
По результатам исследованиям в трёх
продуктах

15. Центр Мониторинга ЗАО «ПМ»

16. Безопасная разработка
Сертификация
и сертификация

17. Содержание презентации
Пара слов о безопасной разработке
С чего мы начинали
Вопросы сертификации
Сделать безопасно, сделать сертифицировано
Стандарты документирования

18. Сертификация —
СЗИ (ФСТЭК России)
СКЗИ (ФСБ России)
ПО АСУ ТП (Минэнерго
России)
ПО атомных станций
(Росатом)
Медицинские ИС
(Минздрав России)
ПО средств связи
(Минкомсвязь России)
ПО искусственного
интеллекта
…
18
— одна из форм подтверждения соответствия объектов
требованиям технических регламентов, положениям
стандартов или условиям договоров.
Когда нужна сертификация ПО?

19. Требования законодательства/регулятора
Отраслевые стандарты
Корпоративные стандарты
Добровольное желание организации
19
Требования к сертификации на примере
сертификации СЗИ

20. Классификация видов ИС с точки зрения требований
к информационной безопасности

21. В процессе сертификации участвуют:
Федеральный орган по сертификации
(ФСТЭК России)
Орган по сертификации
Заявитель
Испытательная лаборатория
21
Сертификация СЗИ (ФСТЭК)

22. Оформление Заявки на сертификацию
Оформление Решения на проведение сертификации
Заключение Договора на проведение сертификационных
испытаний
Подготовка исходных данных
Проведение сертификационных испытаний
Оформление Протоколов сертификационных испытаний и
Технических заключений
Заключение Договора о проведении экспертизы результатов
сертификационных испытаний в Органе по сертификации
Экспертиза результатов сертификационных испытаний
Оформление Сертификата
22
Этапы сертификации СЗИ (ФСТЭК)

23. Контроль
состава и
содержания
документа-
ции
Контроль
исходного
состояния
ПО
Статический
анализ
исходных
текстов
программ
Динамичес-
кий анализ
исходных
текстов
программ
Отчетность
Контроль отсутствия НДВ
Процесс сертификации на примере НДВ

24. Содержание презентации
Пара слов о безопасной разработке
С чего мы начинали
Вопросы сертификации
Сделать безопасно, сделать сертифицировано
Стандарты документирования

25. Сертификация или безопасная
разработка?

26. Сертификация и безопасная разработка?

27. Своевременное начало сотрудничества с
экспертной организацией позволит
выполнить максимальное число её
требований на начальных этапах
разработки, что, в свою очередь даст
возможность:
Упростить процесс полу-
чения сертификата
Ускорить его
Сократить общий срок раз-
работки, избежав отдель-
ного этапа сертификации
Сертификация и безопасная разработка!

28. Разработка и
сертификация
Разработка, затем сертификация
vs
Разработка и сертификация

29. Для прохождения сертификации разработчик СКЗИ должен предоставить
экспертной организации сопроводительные материалы, которые стоит
готовить в ходе всего жизненного цикла разработки.
Обычно они включают:
Описание архитектуры ПО
Функциональную схему
Алгоритмы наиболее значимых процедур и функций
Перечень всех модулей и их значение
Перечень всех процедур, функций, констант и переменных и их назначение
Все исходные тексты с комментариями
Средства разработки для работы с исходными текстами ПО
Конфигурационные файлы для средств разработки
Средства компиляции, методика и порядок сборки итогового проекта ПО
Схемы тестирования сертифицируемого оборудования и всех заявленных функциональных возможностей на сертифицируемом оборудовании
Сертификация СКЗИ (ФСБ)

30. Содержание презентации
Пара слов о безопасной разработке
С чего мы начинали
Вопросы сертификации
Сделать безопасно, сделать сертифицировано
Стандарты документирования

31. Стандарты документирования
Цель документирования – аккумуляция, сохранение и
передача технических сведений о программном
продукте для участников процесса разработки ПО.
Для достижения этой цели документация должна быть:
Понятной
Информативной
Удобной для всех участников процесса
разработки
Для соответствия этим требованиям существуют
Стандарты.

32. Стандарты
ГОСТ 34.ххх «Стандарты информационной
технологии» — 6 документов
ГОСТ 19.ххх «Единая система программной
документации» (ЕСПД) — 30 документов
ГОСТ для автоматизированных систем в защищенном
исполнении (Р 51583-2014, Р 51624-2000)
ГОСТ Р ИСО (9127-94, 15910-2002, 12207-99)
ГОСТ 2.ххх «Единая система конструкторской
документации» — 64 документа

33. Плюсы и минусы стандартов
Достоинства:
Общий язык для всех участников разработки
Максимально полное описание ПО/АС
Недостатки:
Применяемые стандарты морально устарели
В них не отражены отдельные современные тенденции
оформления программ и программной документации
Стандарты предполагают многократное дублирование
фрагментов программной документации

34. Как следовать стандартам?
Программируем на лету
Главное — функционал, документация вторична
Всё по ГОСТам
Обычно по настоятельной просьбе заказчика готовится
утверждённый договором и ТЗ полный комплект
документов, в будущем способный пройти нормоконтроль
Используем стандарты с умом
Если заказчика волнует порядок и организация
документации, имеет смысл в общих чертах следовать
стандартам, учитывая современные тенденции и
практическую целесообразность

35. Документация и сертификация
Документация, подаваемая заявителем для прохождения процедуры добровольной
сертификации программного обеспечения должна отображать следующую
информация о ПО:
Официальное название ПО
Описание структуры программного обеспечения, выполняемых им функций, в том
числе последовательность обработки данных
Описание метрологически значимых функций и параметров ПО, существенных для их
работы
Описание реализованных в ПО вычислительных алгоритмов, а также их блок-схемы
Описание модулей ПО
Перечень интерфейсов и перечень команд для каждого интерфейса, в том числе для интерфейса связи и
пользователя, включая заявление об их полноте
Описание интерфейсов пользователя, всех меню и диалогов
Список, значение и действие всех команд, получаемых от клавиатуры, мыши и других устройств ввода информации
Описание реализованной методики идентификации ПО и самих идентификационных признаков
Описание хранимых или передаваемых наборов данных
Описание реализованных методов защиты ПО и данных
Характеристики требуемых системных и аппаратных средств, если эта информация не приведена в руководстве пользователя

36. Спасибо за внимание!
Вопросы?