Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда

R
RISSPA_SPb
1 of 14
Конференция компании «Информзащита» «Информационная безопасность для банков и TELCO» Разработка ПО в рамках PCI DSS как ее видит жуткий зануда Алексей Бабенко руководитель направления, PA&PCI QSA
«Стандартный» взгляд • Набор требований, которые должны выполнить программисты? • 6.3-6.5 стандарта? • Применимо только при наличии отдельного подразделения разработчиков? • Отдельный процесс, осуществляемый разработчиками
Процессный подход Проектирование Обучение Создание Оценка рисков Анализ Выпуск + Отслеживание уязвимостей
Обучение • Знать – уметь – использовать • Основные темы: • • • требования PCI DSS приемы безопасной разработки (OWASP, CWE), проектирования, тестирования, пр. лучшие практики отрасли • Форма обучения: • • • самостоятельное внутреннее внешнее • Периодические обучение – хорошо, но лучше непрерывный процесс
Проектирование • Не всегда использование номеров карт целесообразно • Формирование требований: • • • • Требования PCI DSS (ПО = системный компонент) Учет лучших практик Учет внутренних требований по ИБ Учет оценки рисков и информации об уязвимостях • Проектирование с учетом сформированных требований
Создание • Требования к разработке: • • • • Использование методов безопасного программирования Применение лучших практик Учет требований PCI DSS Учет оценки рисков и анализа угроз • Разделение сред и обязанностей • Корректное использование тестовых данных
Анализ • Анализ кода (белый ящик) • • • • Использование приемов безопасной разработки Автоматизированный анализ только в качестве инструмента в руках специалиста Проводит специалист с опытом в данной сфере не являющийся автором кода Анализ для всех изменений на предмет безопасности • Тестирование безопасности (черный ящик): • • Общефункциональное с учетом выявленных уязвимостей Тестирование безопасности: • • • • Реализация требований PCI DSS Меры по защите от известных уязвимостей Меры предотвращения недостатков выявленных в модели угроз и при анализе новых уязвимостей Тестирование по методике – хорошо, с использованием контрольных чек-листов – лучше.
Выпуск • Решение за выпуск релиза: • • • • Предыдущие этапы были выполнены успешно Требования стандарта учтены Разработаны процедуры «отката» Оценка воздействия на затрагиваемый процесс • Ответственный за выпуск релиза – отвечает за факт выполнения процедур, ответственность за качество выполнения на соответствующих специалистах • Релиз – не конец проекта
Выявление уязвимостей • Выявляем все что может влиять на безопасность ПО: • • • Новые уязвимости и слабости в функциях программирования Уязвимости компиляторов Уязвимости используемых сторонних библиотек, компонент, сервисов, протоколов • Корректная работа с последними обновлениями системных компонент • Учет результатов при проектировании, разработке, анализов
Анализ угроз • В рамках общего анализа рисков • Стандарт – минимальный набор требований, каждое ПО уникально и может иметь специфичные угрозы • Моделирование угроз – STRIDE, OWASP, CERT • Учет результатов анализа при проектировании, разработке, анализе
Следующий шаг • Выполнение требований PA-DSS • Создание аналога руководства по применению PA-DSS – документа, описывающего как ПО выполняет требования стандарта и какими настройками это обеспечивается • Проведение внешнего обучения • Проведение независимой оценки ПО • Выделение отдельного подразделение – обеспечения безопасности ПО
Сравнение SDL PCI DSS Development Lifecycle Cisco Secure Development Lifecycle Microsoft Security Development Lifecycle Обучение Secure Design Training Выявление уязвимостей 3rd Party Security Implementation (частично) Проектирование Product Security Requirements Requirements Оценка рисков Secure Design Design Создание Secure Coding Implementation Анализ кода Secure Analysis Implementation Тестирование безопасности Vulnerability Testing Verification, Release Выпуск - Release Поддержка - Response
ВОПРОСЫ? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru + 7 (495) 980-23-45 #458 + 7 905 991-99-19 skype: arekusux arekusux.blogspot.com www.infosec.ru
Полезные ссылки • Безопасное программирование • • http://cwe.mitre.org http://owasp.org • Общие базы данных уязвимостей • • • http://www.securityfocus.com http://nvd.nist.gov http://secunia.com • Информация по обучению • Информация по внешнему обучению: • • • • • Материалы для организации внутреннего обучения: • • • • • • • http://itsecurity.ru/catalog/kp75 http://www.sans.org/security-training.php https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference http://www.giac.org/certification/gssp-java https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://www.sans.org/top25-software-errors http://projects.webappsec.org/w/page/13246978/Threat-Classification http://www.cert.org/secure-coding http://cwe.mitre.org/data/graphs/699.html Материалы с сайта консула: • • • https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf https://www.pcisecuritystandards.org/documents/information_supplement_6.6.pdf https://www.pcisecuritystandards.org/documents/Mobile_Payment_Security_Guidelines_Developers_v1.pdf

More Related Content

Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда

  • 1. Конференция компании «Информзащита» «Информационная безопасность для банков и TELCO» Разработка ПО в рамках PCI DSS как ее видит жуткий зануда Алексей Бабенко руководитель направления, PA&PCI QSA
  • 2. «Стандартный» взгляд • Набор требований, которые должны выполнить программисты? • 6.3-6.5 стандарта? • Применимо только при наличии отдельного подразделения разработчиков? • Отдельный процесс, осуществляемый разработчиками
  • 4. Обучение • Знать – уметь – использовать • Основные темы: • • • требования PCI DSS приемы безопасной разработки (OWASP, CWE), проектирования, тестирования, пр. лучшие практики отрасли • Форма обучения: • • • самостоятельное внутреннее внешнее • Периодические обучение – хорошо, но лучше непрерывный процесс
  • 5. Проектирование • Не всегда использование номеров карт целесообразно • Формирование требований: • • • • Требования PCI DSS (ПО = системный компонент) Учет лучших практик Учет внутренних требований по ИБ Учет оценки рисков и информации об уязвимостях • Проектирование с учетом сформированных требований
  • 6. Создание • Требования к разработке: • • • • Использование методов безопасного программирования Применение лучших практик Учет требований PCI DSS Учет оценки рисков и анализа угроз • Разделение сред и обязанностей • Корректное использование тестовых данных
  • 7. Анализ • Анализ кода (белый ящик) • • • • Использование приемов безопасной разработки Автоматизированный анализ только в качестве инструмента в руках специалиста Проводит специалист с опытом в данной сфере не являющийся автором кода Анализ для всех изменений на предмет безопасности • Тестирование безопасности (черный ящик): • • Общефункциональное с учетом выявленных уязвимостей Тестирование безопасности: • • • • Реализация требований PCI DSS Меры по защите от известных уязвимостей Меры предотвращения недостатков выявленных в модели угроз и при анализе новых уязвимостей Тестирование по методике – хорошо, с использованием контрольных чек-листов – лучше.
  • 8. Выпуск • Решение за выпуск релиза: • • • • Предыдущие этапы были выполнены успешно Требования стандарта учтены Разработаны процедуры «отката» Оценка воздействия на затрагиваемый процесс • Ответственный за выпуск релиза – отвечает за факт выполнения процедур, ответственность за качество выполнения на соответствующих специалистах • Релиз – не конец проекта
  • 9. Выявление уязвимостей • Выявляем все что может влиять на безопасность ПО: • • • Новые уязвимости и слабости в функциях программирования Уязвимости компиляторов Уязвимости используемых сторонних библиотек, компонент, сервисов, протоколов • Корректная работа с последними обновлениями системных компонент • Учет результатов при проектировании, разработке, анализов
  • 10. Анализ угроз • В рамках общего анализа рисков • Стандарт – минимальный набор требований, каждое ПО уникально и может иметь специфичные угрозы • Моделирование угроз – STRIDE, OWASP, CERT • Учет результатов анализа при проектировании, разработке, анализе
  • 11. Следующий шаг • Выполнение требований PA-DSS • Создание аналога руководства по применению PA-DSS – документа, описывающего как ПО выполняет требования стандарта и какими настройками это обеспечивается • Проведение внешнего обучения • Проведение независимой оценки ПО • Выделение отдельного подразделение – обеспечения безопасности ПО
  • 12. Сравнение SDL PCI DSS Development Lifecycle Cisco Secure Development Lifecycle Microsoft Security Development Lifecycle Обучение Secure Design Training Выявление уязвимостей 3rd Party Security Implementation (частично) Проектирование Product Security Requirements Requirements Оценка рисков Secure Design Design Создание Secure Coding Implementation Анализ кода Secure Analysis Implementation Тестирование безопасности Vulnerability Testing Verification, Release Выпуск - Release Поддержка - Response
  • 13. ВОПРОСЫ? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru + 7 (495) 980-23-45 #458 + 7 905 991-99-19 skype: arekusux arekusux.blogspot.com www.infosec.ru
  • 14. Полезные ссылки • Безопасное программирование • • http://cwe.mitre.org http://owasp.org • Общие базы данных уязвимостей • • • http://www.securityfocus.com http://nvd.nist.gov http://secunia.com • Информация по обучению • Информация по внешнему обучению: • • • • • Материалы для организации внутреннего обучения: • • • • • • • http://itsecurity.ru/catalog/kp75 http://www.sans.org/security-training.php https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference http://www.giac.org/certification/gssp-java https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://www.sans.org/top25-software-errors http://projects.webappsec.org/w/page/13246978/Threat-Classification http://www.cert.org/secure-coding http://cwe.mitre.org/data/graphs/699.html Материалы с сайта консула: • • • https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf https://www.pcisecuritystandards.org/documents/information_supplement_6.6.pdf https://www.pcisecuritystandards.org/documents/Mobile_Payment_Security_Guidelines_Developers_v1.pdf