Журнал "Information Security/ Информационная безопасность" #5, 2023

l ГОСТ Р 58412–2019 Разработка без- опасного программного обеспечения. угрозы безопасности информации при разработке программного обеспечения. l ГОСТ Р 58143–2018 Тестирование проникновения. l ГОСТ Р ИСО/МЭК 18045–2013 Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. l ГОСТ Р 56545–2015 Защита инфор- мации. Уязвимости информационных систем. Правила описания уязвимо- стей. l ГОСТ Р 56546–2015 Защита инфор- мации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. l ГОСТ Р 56939–2016 Разработка без- опасного программного обеспечения. общие требования. l Методические документыФСТЭК России (по РБПО и управлению уязвимостями). l Практики РБПО других компаний. Шаг 2. Внедрить инструменты и мето- ды для автоматизации процессов РБПО. Инструменты и методы могут помочь сотрудникам автоматизировать задачи, связанные с безопасностью, такие как сканирование кода на наличие уязви- мостей и управление конфигурацией. Шаг 3. Создать среду, в которой сотрудники могут безопасно разраба- тывать и тестировать программное обес- печение. Внедрить программное обес- печение для статического и динамиче- ского анализа исходного кода, создать ферму для фаззинг-тестирования, если оно необходимо. Шаг 4. Обеспечить обучение сотруд- ников по вопросам безопасности разра- ботки ПО. Обучение должно охватывать основы безопасности ПО, а также кон- кретные практики и методы, которые необходимо применять в организации. Шаг 5. Регулярно проводить аудиты безопасности разработки ПО (аудиты процессов РБПО). Аудиты помогут оце- нить эффективность внедренных про- цессов РБПО и выявить области для улучшения. Проблемы, которые могут возникнуть при внедрении процессов РБПО в организации, и их решение Рассмотрим часто возникающие про- блемы при внедрении РБПО и способы их решения (см. табл. 3). РБПО – это непрерывный процесс. Необходимо регулярно пересматривать и обновлять меры безопасности в соот- ветствии с новыми угрозами и уязвимо- стями. Безопасность инфраструктуры и дан- ных является важным аспектом РБПО. Для обеспечения безопасности инфра- структуры и данных необходимо исполь- зовать межсетевые экраны, регулярно обновлять программное обеспечение и системы безопасности, использовать системы обнаружения и предотвращения вторжений, а также создавать резервные копии данных и хранить их в безопасном месте. l • 59 БЕЗОПАСНАЯ РАЗРАБОТКА www.itsec.ru Таблица 3 Ваше мнение и вопросы присылайте по адресу is@groteck.ru Проблема Решение Разная зрелость процессов разработки ПО, из-за чего могут возникать разные представления о РБПО РБПО сильно зависит от текущих процессов разработки ПО и их зрелости. Поэтому в процессе внедрения и развития РБПО необходимо быть готовым к тому, что могут потребоваться изменения в текущих процессах разработки ПО Недостаток ресурсов. РБПО может потребовать значительных ресурсов, таких как время, деньги и персонал Внедрение процессов РБПО следует рассматривать как проект, планировать и применять при создании взаимосвязанных процессов РБПО в организации методы проектного управления Нехватка знаний. Сотрудники могут не иметь необходимых знаний и навыков для безопасной разработки программного обеспечения. В решении данной проблемы обычно сильно помогают так называемые Security Champion – специалисты, задействованные в разработке ПО (имеются в виду разные специалисты, участвующие в разработке ПО на различных его этапах: постановщики, программисты, тестировщики и т.п.). Создание команды Security Champion – это тема отдельной статьи. В рамках текущей статьи лишь отмечу, что при планировании в организации процессов РБПО следует уделить внимание формированию команды Security Champion Отсутствие соответствующих потребностям программных средств. Недостаток отечественных средств для проведения динамического анализа исходного кода. Фаззинг-тестирование, по сути, требует создания отдельной инфраструктуры Следует иметь в виду, что динамический анализ разделяется на два типа: l динамический анализ сетевых сервисов путем отправки данных по сети, например,проверка веб-приложений, которые будут "торчать" в Интернете: веб-часть или API, доступное извне; l динамический анализ локальных сервисов, служб, исполняемых файлов. Как правило, динамический анализ сервисов является более важным. С учетом ограниченности ресурсов необходимо в первую очередь выстраивать именно этот процесс. В части фаззинг-тестирования нужно понимать, как "фазить" и что "фазить", а также иметь определенные мощности (серверы). Важно понимать, что если ПО отсеивает определенные значения и на группе данных проблем не ожидается, то нет смысла всю группу входных данных "фазить". От того, что "фазится" (функция, которая действительно может быть доступна пользователю, или "внутрянка", до которой еще нужно добраться), и от набора входных данных зависит приоритет распределения ресурсов, так как если взять "все подряд", то времени и мощностей может не хватить Сопротивление изменениям. Сотрудники могут сопротивляться изменениям в процессах и методах разработки ПО Уделять внимание моделированию угроз и пониманию, где действительно могут быть проблемы, показывать сотрудникам необходимость наличия процессов РБПО