Актуальность контроля разработки программного обеспечения автоматизированных банковских систем на предмет наличия в нем уязвимостей ООО «Газинфомсервис»

Презентация:



Advertisements
Похожие презентации
ГОСТЕХКОМИССИЯ РОССИИ РУКОВОДЯЩИЙ ДОКУМЕНТ Защита от несанкционированного доступа к информации.
Advertisements

Институт системного анализа Российской академии наук (ИСА РАН) 1 "Проблемы и методы управления безопасностью критических инфраструктур национального масштаба".
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля.
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Коробочное решение для защиты электронного документооборота Андрей ШАРОВ Электронные Офисные Системы 2007.
Свободное программное обеспечение и доверие к безопасности информационных систем Александр Трубачев Заместитель Председателя ООО «Центр безопасности информации»
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Доработки ядра СУБД Firebird для обеспечения соответствия требованиям класса 1Г ФСТЭК по защите конфиденциальной информации Николай Самофатов, Технический.
Преимущества применения cals/plm/pdm-систем Повышение качества услуг Повышение производительности труда Снижение материальных затрат Увеличение прибыли.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
Интегрированные Банковские Системы и СТО БР ИББС. Подход компании ПрограмБанк Занин В.В. Директор по работе с клиентами и маркетингу ЗАО «ПрограмБанк»
Защита и резервирование информации Под защитой информации понимается порядок и правила применения принципов и средств защиты информации. Prezentacii.com.
Механизмы информационной безопасности в DocsVision. Сертифицированная версия. Виктор Сущев, Директор по консалтингу.
Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.
Защита информации в CALS- сетях В. Окулесский НИЦ CALS-технологий «Прикладная логистика»
Система обеспечения информационной безопасности (СОИБ) Национальной нанотехнологической сети Взаимодействие Центра компетенции СОИБ ННС, Головной научной.
Центр безопасности информации Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ.
Анна Кожина Консультант отдела информационной безопасности
Транксрипт:

Актуальность контроля разработки программного обеспечения автоматизированных банковских систем на предмет наличия в нем уязвимостей ООО «Газинфомсервис» Директор департамента разработки и сертификации Р. Компаниец ООО «Газинфомсервис», средства проведения исследования ПО

Основные регламентирующие документы ГОСТ Р ИСО МЭК ФСТЭК. РД НДВ. Часть СТО БР ИББС ООО «Газинфомсервис», средства проведения исследования ПО

НДВ - это функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации (РД НДВ ФСТЭК). Уязвимость - слабое место в инфраструктуре организации банковской системы РФ, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ (СТО БР ИББС ). Угроза ИБ – угроза нарушения таких свойств ИБ, как доступность, целостность или конфиденциальность информационных активов организации банковской системы РФ (СТО БР ИББС). ООО «Газинфомсервис», средства проведения исследования ПО

НДВ Уязвимость Угроза Ущерб ООО «Газинфомсервис», средства проведения исследования ПО

Классификация уязвимостей ООО «Газинфомсервис», средства проведения исследования ПО

Методология проведения контроля на НДВ Основы методологии Общие принципы анализа программ Требования РД ФСТЭК России Базируется - на сопоставлении результатов статического анализа исходных текстов ПО и результатов выполнения откомпилированного ПО (динамический анализ) ООО «Газинфомсервис», средства проведения исследования ПО

Уверенность отсутствия НДВ Проведением контроля на отсутствие НДВ Созданием условий для запрета использования НДВ ООО «Газинфомсервис», средства проведения исследования ПО

Инструментальные средства для анализа ПО В условиях наличия исходных текстов ПО –Специализированные сканеры: сканер CodeProfiler (Virtual Forge) –Специализированные среды: АИСТ(ЦБИ),АКВС (Эшелон),IRIDA SOURCES(Газинформсервис) В условиях отсутствия исходных текстов –Дизассемблеры и декомпиляторы: IDA PRO, Hexray –Инструментальные системы: BinNavi (Zynamics GmbH, Германия), IRIDA (Газинформсервис) ООО «Газинфомсервис», средства проведения исследования ПО

Пример анализа ABAP-кода, сканер CodeProfiler (Virtual Forge) Название теста Общее количество уязвимостей Критичные уязвимости Пропущен AUTHORITY-CHECK перед CALL TRANSACTION 573 Силовой запрос (чтение) Пропущен AUTHORITY-CHECK в отчетах Силовой запрос (запись)10579 Пропущен AUTHORITY-CHECK в RFC-Enabled Functions 147 Манипулирование именами директорий (запись)124 Общие вызовы ABAP модулей2231 Манипулирование именами директорий (чтение)91 ООО «Газинфомсервис», средства проведения исследования ПО

Обнаруженные типы критических уязвимостей и создаваемые ими риски Тип критической уязвимостиРиски безопасности Пропущен AUTHORITY-CHECK перед CALL TRANSACTION НСД к SAP-транзакции Пропущен AUTHORITY-CHECK в отчетах НСД к данным Пропущен AUTHORITY-CHECK в RFC-Enabled Functions Несанкционированный удаленный запуск функции Форсированный запрос НСД к данным, в том числе модифицировать и удалять их, контролируя элементы WHERE в SQL-запросе Манипулирование именами каталогов НСД: чтение и запись конфигурационных файлов; чтение и запись лог-файлов; чтение и запись файлов БД. Вызовы ABAP-модулейОтказ в обслуживании (сбой сервера приложения SAP); нарушение работы бизнес-логики ООО «Газинфомсервис», средства проведения исследования ПО

Платформа Windows Области применения сертификационные испытания ПО тестирование ПО Инструментальный комплекс IRIDA Sources Проведение исследований в условиях наличия исходных текстов ООО «Газинфомсервис», средства проведения исследования ПО

IRIDA Sources 1.5 Основное приложение ООО «Газинфомсервис», средства проведения исследования ПО

Проведение исследований и защита программного кода от недокументированных возможностей ООО «Газинфомсервис», средства проведения исследования ПО

Инструментальный комплекс IRIDA платформа Windows Области применения сертификационные испытания ПО тестирование ПО защита от НДВ и атак Проведение исследований в условиях отсутствия исходных текстов ООО «Газинфомсервис», средства проведения исследования ПО

Модельпрограммы Модель программы ООО «Газинфомсервис», средства проведения исследования ПО

IRIDA Основное приложение ООО «Газинфомсервис», средства проведения исследования ПО

Прерывание от точки трассировки Возврат управления Недокументированный маршрут Защита кода от недокументированных возможностей Модуль PE формата с установленными точками трассировки Установка точек трассировки Метод ДИАГЕН Паспорт программы Трасса Завершение программы ООО «Газинфомсервис», средства проведения исследования ПО

IRIDA 2.0 Основное приложение ООО «Газинфомсервис», средства проведения исследования ПО

Выводы НДВ всегда присутствуют в ПО Контроль отсутствия НДВ требует специализированных методик и инструментов для повышения производительности и достоверности Создание условий невозможности проявления НДВ Паспортизация ПО – один из путей решения проблемы защиты ПО от НДВ ООО «Газинфомсервис», средства проведения исследования ПО

Спасибо за внимание! ООО «Газинфомсервис» Директор департамента разработки и сертификации Р. Компаниец ООО «Газинфомсервис», средства проведения исследования ПО