Свободное программное обеспечение и доверие к безопасности информационных систем Александр Трубачев Заместитель Председателя ООО «Центр безопасности информации» по НИР © Центр безопасности информации
Доверие к продукции Функциональность Разработчик Где производится Независимые оценки 2 © Центр безопасности информации
Доверие к безопасности ИС Доверие – основа для уверенности в том, что продукт или система ИТ отвечают установленным для них функциональным требованиям безопасности. (Международный стандарт ИСО/МЭК «Критерии оценки безопасности информационных технологий») 3 © Центр безопасности информации
Требования доверия (assurance requirements) Качество проектных решений Безопасность процесса разработки Анализ уязвимостей Поддержка Возможность сертификации 4 © Центр безопасности информации
Виды программного обеспечения Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО 5 © Центр безопасности информации
Качество проектных решений 6 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Качество проектных решений
Безопасность процесса разработки 7 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Безопасность процесса разработки
Анализ уязвимостей 8 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Анализ уязвимостей разработчиком Анализ уязвимостей потребителем Анализ уязвимостей специализированной организацией Анализ уязвимостей злоумышленником
Безопасность процесса сборки 9 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Доступность процесса сборки потребителю Доступность процесса сборки специализированной организации
Поддержка 10 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Поддержка
Возможность сертификации 11 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Возможность сертификации
Доверие к безопасности ПО 12 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Качество проектных решений Безопасность процесса разработки Анализ уязвимостей разработчиком Анализ уязвимостей потребителем Анализ уязвимостей специализированной организацией Анализ уязвимостей злоумышленником Доступность процесса сборки потребителю Доступность процесса сборки специализированной организации Поддержка Возможность сертификации
Выводы 1.Открытое публичное ПО, с точки зрения доверия к безопасности, является не таким уж и привлекательным. 2.Наибольшего доверия к безопасности можно достичь для открытого коммерческого ПО и проприетарного ПО с ограниченным доступом к коду и процессу сборки. 3.Закрытое проприетарное ПО не может претендовать на высокие уровни доверия к его безопасности. 13 © Центр безопасности информации
Направления повышения доверия к безопасности ПО 1.Совершенствование нормативной базы Для современных информационных технологий именно доверие является основным приложением усилий в направлении повышения их безопасности. «При возрастании значимости безопасности для организаций и повышении восприимчивости информационных систем к расширенным долговременным угрозам нарушителей с высоким потенциалом не только имеют смысл, но требуются повышенные уровни доверия. … Таким образом, когда потенциальное воздействие на деятельность и активы организаций, людей, другие организации и Нацию является высоким, увеличивающийся уровень усилий должен быть направлен на обеспечение доверия.» NIST Special Publication Повышение качества процессов разработки и поддержки ПО 3.Сертификация ПО Специальные исследования доверия к безопасности ПО проводятся при сертификации на соответствие требования международного стандарта ИСО/МЭК «Критерии оценки безопасности информационных технологий» (Общие критерии) и при сертификации на отсутствие недекларированных возможностей. 14 © Центр безопасности информации
Спасибо за внимание! 15 © Центр безопасности информации Трубачев Александр Павлович Тел.: (495) mail: