Embed Size (px)
Citation preview
Роль информационной безопасности в управлении проектами или
Почему скрипач нужен
Евменков Алексейisqa.ru
Аннотация• Все руководители проектов пристегиваются в машине, но редко кто
думает об информационной безопасности, управляя своим проектом. • Что знают руководители проектов об информационной безопасности?
То, что пароли должны быть сложными и существуют абстрактные политики про можно/нельзя?
• В реальном мире - информационная безопасность (ИБ) - это огромный пласт практик: технических, организационных, управленческих.
• В докладе будет рассмотрены аспекты ИБ в разрезе управления ИТ проектами. Автор обсудит вопросы - а стоит ли вкладываться в эту область на проекте - ресурсами, деньгами, временем? Если да, то почему это оправдает себя?
Представление
• Специалист по ИБ, по процессам и качеству в ИТ области• Внедряю и подготавливаю к
сертификации - ИСО 27001 и 9001• Разрабатываю & внедряю
процессы разработки ПО, ИБ• Профессиональный аудитор по
ИБ и процессам
ПОЧЕМУ ЭТО ВАЖНО?
Почему тема ИБ важна для управления проектами• Разрабатываемые системы становятся более сложными• Вероятность ошибок, связанных с ИБ возрастает
Ошибка в модуле с требованиями ИБ (например, модуль авторизации) – приводит к уязвимости всей системы
• Возрастает ценность данных, соответственно интерес со стороны злоумышленников
• Применение ИБ на проектах и в организации в целом - движение организации к большей зрелости• Неочевидные связи между вещами, например программа BAS и
будущий бизнес с Европой
Почему тема ИБ важна для управления проектами
• Аналогия с машиной, самое главное - доехать куда нужно, вовремя, и недорого• Как и в проекте, цена качество и срок• Но никто не подумает не пристегнуться или отключить
подушки безопасности• В проектном управлении, ИБ - это центр растрат, как и ремни
безопасности в машине. • Но возможно это сохранит вашу карьеру
ОПРЕДЕЛЕНИЯ
Что такое ИБИнформационная Безопасность (ИБ) - свойство информации сохранять конфиденциальность, целостность и доступность.[Источник: ИСО 27001]Пример с базой данных• Конфиденцильность – конфиденциальность данных, неразглашение ни при каких
условиях (госучреждение к примеру)• Целостность – непротиворечивые данные в базе, защита от сбоев• Доступность - доступ только у тех, кому нужно, в нужное время (если база доступна
только по ночам – не дело)
Иногда добавляются:• Неотказуемость,• Подотчетность• Аутентичность• Достоверность
Система Менеджмента ИБ (СМИБ) –набор организационных, управленческих и технических мер защиты информации.
Что такое СМИБ
СМИБ – что под капотом?Что такое СМИБ
Напрямую касается управления проектами
Двигатель СМИБ - управление рискамиУгроза: нарушение лицензионности, использование чужого кода
Уязвимость: Из-за отсутствия необходимых знаний у членов команды
Актив: программные компоненты (deliverables)
Защитная мера: проведение тренингов, постоянная коммуникация, процедурная поддержка
Ценность анализа рисков
• За год от падения кокосов погибает в десятки раз больше людей, чем от акул– Часто мы боимся не то, что нужно
• Мужчины поражаемы молнией в 4 раза более часто чем женщины– В жизни бывают странные закономерности
• Шанс выйграть в лотерею обычно ~1 из 14млн. Шанс заболеть птичьим гриппом 1 из 100млн.– Наши ожидания и страхи зачастую иррациональны, пока не
проанализируешь их
Анализ рисков дает основания для объективных решений
ОРГАНИЗАЦИОННАЯ ИБ
Мир ИБ
2011-09-07
Technologies war
Government challenges
Business requirements
Война технологий
Организационные проблемы
Требования бизнеса
Организационная ИБ
• Information security policies• Помогает выстроить культуру ИБ в организации
• Organization of information security• Тренинги для проектной команды, обработка проектных
инцидентов ИБ , помощь с ИБ вопросами• ! Правила удаленной работы• ! Правила работы с мобильными устройствами
• Human resources security• Надежный персонал на проекте• Решает базовые вопросы с персоналом
Прав
ила
удал
енно
й ра
боты
Организационная ИБ
• Asset management• Предоставляет категоризацию
активов (включая проектные)• Классификация информации• Правила работы с физическими активами, уничтожение,
вынос за пределы офиса• Access control• Управление правами пользователей на проектах• Новый член команды, увольнение / перевод сотрудника,
закрытие проекта• Правила “least privilege” и “need to know”
Клас
сифи
каци
я ин
форм
ации
Упра
влен
ие д
осту
пом
Организационная ИБ
• Physical and environmental security• Регламентирует поведение сотрудников• Чистый стол и экран• Производит впечатление на заказчиков:)
• Operations security• Управление изменениями• Управление мощностью (capacity)• Обеспечение антивирусной поддержки• Обеспечение резервного копирования• Логгирование и мониторинг событий (в сети, в системах)
Организационная ИБ
• Communications security• Базовая безопасность сети• Безопасность проектной среды (железо+ПО)• SLA от ИТ отдела• Правила распространения информации – в соц. сетях, в
интернете, в почте, на собеседованиях:)• Confidentiality or nondisclosure agreements
Организационная ИБ
• System acquisition, development and maintenance• Правила безопасной разработки• Правила security engineering (соответствие coding
standards и др.)• Безопасный outsourcing • Безопасные изменения в ПО, управление рисками и
многое другое.
Организационная ИБ
• Supplier relationships• Правила коммуникации, соглашения
• Information security incident management• Предотвращение и обработка инцидентов на проекте
• Information security aspects of business continuity management• Надежное основание для ведения проекта (на случай
непредвиденных обстоятельств)
Организационная ИБ
• Compliance• Интеллектуальная собственность • Персональные данные• Криптографические контролы
ИБ В УПРАВЛЕНИИ ПРОЕКТАМИ
Применимость ИБ на проектахПрежде чем применять требования ИБ, оцени реальность• Тип проекта• Fixed price / time-material• Product development?• Стартап?
• Размер проекта • 2х недельный POC? Или 1й этап на 6
мес?• Тип заказчика• Небольшая фирма с заказом сайта• Международная корпорация• Тип деятельности? Gambling, finance?
Надежда РП
В 95% случаев, управление проектами рассчитано на добрых людей• по способам
коммуникаций • по хранению данных -
заказчика и своей организации• по способам удаленной
работы
Где РП может научиться ИБ ?
• В PMBOK 5th – слово security встречается 9 раз - на 619 стр.• Все вхождения – либо про security requirements
либо случайные
Учиться нужно самостоятельно, требовать поддержку у руководства:)
2 подхода к ИБ в управлении проектами
• Включить правила, требования ИБ в производственный процесс
либо• Реагировать на инциденты ИБ
Лучше включить требования ИБ в процесс управления проектами!
Какие требования ИБ в процесс управления проектами?
Следовать внутренним правилам ИБ организации
• Физическая безопасность, мобильные устройства, удаленная работа и т.д. – все это должно быть частью культуры на проекте• Требуйте обучения по ИБ от Менеджера по ИБ• Кейс с POC - переиспользовали модуль одного заказчика-конкурента,
не вырезали логотипы даже• Кейс с нелицензионным кодом и др.
Включить цели ИБ (security objectives)
• Цели ИБ (security objectives) должны быть включены в общие цели проекта (project objectives)• Цели ИБ основаны на CIA
(Confidentiality, Integrity, Availability) • Сохранить конфиденциальность данных
заказчика (test data, project data etc.)• Цели по соблюдению стандартов
шифрования и криптографии• Сохранить целостность репозитариев с
кодом
Произвести анализ рисков ИБ• Произвести анализ рисков ИБ на ранней стадии проекта
(совместно с общим анализом рисков)• Часто, риски напрямую следуют из целей ИБ• риски связанные с нарушением целостности репозиториев кода, • доступность серверов, конфиденциальность средств
коммуникации
Произвести анализ рисков ИБ
Анализ рисков – должен быть основан на бизнес-реальности
Реальность зависит – от размера проекта, от типа проекта, от вашего опыта и т.д.
Интегрировать ИБ во все фазы процесса разработки ПО
• Встраивание дополнительных контрольных точек в жизненный цикл разработки ПО• На каждой фазе жизненного цикла, наряду с
обычными критериями (качество кода, соответствие спецификации и т.п.), нужно проверять требования ИБ
Пример интеграции ИБ в V-modelТребования к ПО
Технические решения
Код
Модульное тестирование
Системное тестированиеТЕСТИРУЕТСЯ
ТЕСТИРУЕТСЯ
Ревью требований с точки зрения безопасности
Ревью архитектуры с точки зрения безопасности
Ручной аудит кодаПрактики Code Review
Статический аудит кодаАнализ результатов аудита
Динамическое тестирование и тестирование на проникновение
НАСТРОЙКА ПРАВИЛ
НАСТРОЙКА ПРАВИЛ
Некоторые аспекты ИБ в процессе разработки ПО• Ревью требований• Раздел – нефункциональные требования.
Связано с анализом рисков.• Ревью архитектуры• Идентификация и использование security design patterns• Анализ используемых платформ, фреймворков и паттернов с
т.зр. ИБ• Коммуникация с членами команды по теме ИБ
• Ручной аудит кода (code review)• Стандартные практики code review• Использование расширенных чеклистов – с включенными
требованиями ИБ
Secure the weakest linkKeep it simpleFail securely
Follow the principle of least privilege
Некоторые аспекты ИБ в процессе разработки ПО• Статический анализ кода• Использование
специальных инструментов для анализа кода на уязвимости ИБ
• Тесты на проникновение (penetration tests)• Использование
специального инструментария и методик
Примеры уязвимостей• Code Injection (SQL инъекция)
невалидированный пользовательский ввод, используемый для интерпретации команд, может быть использован злоумышленниками для выполнения недокументированной функциональности
• Sensitive Data Exposure (Нарушение конфиденциальности)конфиденциальные данные публикуются в незащищенный канал. Тем самым, злоумышленник может достаточно просто получить доступ к данным в обход сложных механизмов защиты системы
• Unreleased Resource: Streamsвызывают непредсказуемое поведение системы. Незакрытые потоки записи и чтения ресурсов способны вызывать утечку памяти и/или утечку информации о системе через непредвиденные ошибки и исключения в работе приложения, вплоть до полной его остановки
Пример интеграции ИБ в waterfall
Security and Privacy
Risk Analysis
Manual Code Review
Threat Modeling
Static Analysis
Dynamic Analysis
Security Architecture
& Design Review
Final Security Review
Fuzz Testing
Secure Design
Guidelines
Security and Privacy
Requirements
REQUIREMENTS IMPLEMENTA
TION
Regulations, Policies and Standards
Secure Coding
Guidelines
Quality Gates/Bug Bars
Attack Surface Analysis RELEASE
Security Deployment
Review
Automated Tools
VERIFICATION
DESIGN AND ARCHITECTURE
Attack Surface Review
Пример интеграции ИБ в waterfall
Обучение основам безопасности
Задание требований безопасности
Создание контрольных условий качества и панелей ошибок
Оценка рисков безопасности и конфиденци-альности
Задание требования проектирования
Анализ возможных направлений атак
Моделирование рисков
Применение утвержденных инструментов
Отказ от небезопасных функций
Статический анализ
Динамический анализ
Нечеткое тестирование
Проверка возможных направлений для атак
Планирование реагирования на инциденты
Окончательная проверка безопасности
Архивация выпуска
Выполнение плана реагирования на инциденты
Обучение Требования Дизайн Реализация Проверка Выпуск Реакция
Пример интеграции ИБ в Agile
Комплексный подход по обеспечению безопасной разработки ПО
• SAMM - Software Assurance Maturity Modelhttp://www.opensamm.org
• Может быть адаптирована под любую компанию• Позволяет оценивать усилия на проект, описывает
кто вовлечен, какие метрики необходимы и др.
Другие важные моменты для РПВзаимодействие с заказчиком• Вовремя пропиарить свой ИБ
уровень, предложить работать по «нашим» методам
• Особое внимание на ИБ требования заказчика (случай с проверкой кода на подлинность -> вылилось в +неск. месяцев переработок)
• Оборудование заказчика – учет, использование, возврат (!)
Другие важные моменты для РП
• Взаимодействие с поставщиками/вендорами• Четкий, содержащий требования ИБ договор• В частности, соблюдение вендором внутренних правил
компании по ИБ
• Найти спонсора для ИБ• Обычно, это заказчик• Но может быть и родная фирма, если
стратегически заинтересована в заказчике и проекте
Другие важные моменты для РП
• Ревью прав доступа на проекте• Newcomer• Сотрудник уволился• Проект завершился (закрытие текущих прав)
• Действуй на основании классификации информации• Public/Internal/Secret
ЗАКЛЮЧЕНИЕ И ВЫВОДЫ
Что должен уметь достичькаждый ПМ?• Завершить проект в срок,
бюджет, с требуемым качеством
• Заказчик должен быть счастлив
• Остальные счастливы (члены команды, руководство, семья)
• Во всем этом не упоминается, что ПМ тоже должен остаться счастлив
• Получить опыт, самореализоваться, научиться новому, подготовиться к следующим вызовам
• Стать более профессиональным
• В том числе в области ИБ
Роль РП в процессе внедрения ИБ• Роль РП в области внедрения требований ИБ на
проекте - ключевая. • Реальная власть над людьми – у РП• Если РП понимает важность ИБ , то и остальные поймут• И наборот
Заключение
• Не игнорируйте правила ИБ• Применяйте требования
ИБ, исходя из реальности• “Security is a process, not
a product!” [Bruce Schneier]
Ссылки
• Information Security and the SDLC by Ron Clement• SAMM - Software Assurance Maturity Model
http://www.opensamm.org
