Обеспечение информационной безопасности ПО на стадиях жизненного цикла ИС на примере крупной кредитно-финансовой организации

Долговых А.Г.

выпускник группы MBA CSO-21

Школы IT-менеджмента

РАНХиГС при Президенте РФ

Информация - является одним из ключевых ресурсов любой организации, от которого напрямую зависит успешность и прибыльность. Для кредитно-финансовой организации (далее КФО) обработка информации является основным и «незаменимым средством производства» - в результате такой обработки денежные средства дематериализуются и в виде информации размещаются, хранятся, пересылаются и переоцениваются. Перевод денежных средств или осуществление платежа на практике сводится к изменению информации на счетах отправителя и получателя.

Интеграция программных решений в деятельность финансовой организации более значительная, по сравнению с организациями в других секторах экономики. По своей сути финансовая информация является главным сырьем для производства услуг и утрата контроля над своей информационной системой, грозит КФО серьезными проблемами (вплоть до прекращения деятельности).

Активное внедрение информационных технологий, в том числе бурный рост веб-, мобильных, а также облачных технологийв кредитно-финансовой сфере, приводит к существенному росту количества уязвимостей ПО. Связаны они в большей степени с разработкой и возникновением специфических ошибок при проектировании архитектуры и разработки ПО, большого количества внесения изменений в  бизнес-логикуинформационных систем по требованию бизнеса и т.п.Все это, в итоге оказывает существенное влияние в целом на процессы обеспечения информационной безопасности (далее ИБ) в КФО и приводят к возможности осуществления инцидентов ИБ связанных, например,с несанкционированными операциямиснятия и перевода денежных средств. Такие действия наносят прямой финансовый ущерб КФО.

Ценность интеграции требований ИБ на стадиях жизненного цикла ПО состоит в следующем:

·      Выявление и устранение уязвимостей и неправильных конфигураций системы безопасности, что приводит к снижению затрат на обеспечения контроля безопасности и снижение уязвимостей ПО;

·      Повышение осведомленности о потенциальных проблемах в работе ПО, обнаруженных на этапе проведения анализа безопасности ПО;

·      Определение требований безопасности к ПО, а также использование стратегий и инструментов безопасности в ПО с целью снижения затрат и сокращения сроков внедрения ПО без снижения общего уровня обеспечения безопасности системы;

·      Содействие своевременному принятию обоснованных управленческих решений посредством комплексного управления рисками;

·      Документирование требований и настроек безопасности в рамках подготовки технического задания и разработкиПО;

·      Повышение функциональной совместимости и интеграции для обеспечения безопасности ИС на различных системных уровнях, что приводит к снижению затрат на внедрение дополнительных защитных мер в рамках межсистемного взаимодействия в ИС.

Новейшие исследования показывают однозначную связь между разработкойбезопасного ПО и бизнес эффективностью организации. Внедрение процедур безопасной разработки ПО сокращает совокупную стоимость разработки за счёт более раннего обнаружения и устранения уязвимостей. По мнению Национального института стандартов и технологий США,(NIST), затраты на устранение уязвимостей на этапе проектирования могут быть в 30 раз ниже затрат на устранение таких же уязвимостей после выпуска ПО.

Обеспечение процессов ИБ на стадиях жизненного циклаПО или с учетом международной терминологии SecureSoftware Development Llife Cycle (S-SDLC) гарантирует, что требования по безопасности ПО будут учтены на всех этапах данного цикла.

В качестве предметаисследования в работе будут рассматриваться вопросы обеспечения ИБ на протяжении всего жизненного цикла ПО на примере крупной КФО c учетом следующих этапов:

·      Инициирование и функционально-организационное планирование работ;

·      Проектирование и анализ требований;

·      Дизайн архитектуры;

·      Разработка;

·      Тестирование;

·      Установка и внедрение;

·      Эксплуатация / сопровождение;

·      Вывод из эксплуатации.

В теоретической части работы представлен обзор существующих зарубежных и отечественных методологий  и стандартов S-SDLC (CMMI, SSE-CMM, T-CMM, TSM, Microsoft SDL, TSP, Agile Methods, Common Criteria, OpenSAMM, BSIMM, NIST SP 800-64, РС БР ИББС-2.6-2014, ГОСТ Р 57580.1-2017, ГОСТ Р 56939-2016.

В методической части работы с учетом проведенного анализа методологий и стандартов S-SDLC предлагаются варианты для выборапрактического подхода к реализации процессов безопасности на этапах жизненного цикла ПО в рамках поставленной задачи.

В основной, практической части работы проведен анализ имеющихся проблем с реализацией процедур обеспечения безопасности ПО на стадиях жизненного цикла. По результатам этой аналитики, с учетом выбранного выше подхода разработана практическая модель S-SDLC и определены основные принципы построения процессов ИБ на стадиях жизненного цикла ПО на примере крупной КФО.

По итогам работы получены следующие выводы:

1.    Несмотря на разнообразие различных методологий S-SDLCключевые механизмы и реализуемые процессы S-SDLCв них совпадают.

2.    S-SDLC применим к разным моделям жизненного цикла ПО, как к водопадной (waterfall), так и гибкой модели (аgile).

3.    S-SDLC подразумевает полноценное решение вопросов обеспечения безопасности на каждой из стадий жизненного цикла ПО: инициирование, проработка технического задания, проектирование, разработка, тестирование, установка, эксплуатация и сопровождение, вывод из эксплуатации.

4.    Защитные меры в рамках S-SDLC:

·      Закладываются в техническое задание (описываются в виде требований технического задания на решения ИБ).

·      Реализуются в разрабатываемом/приобретаемом ПО (описываются в проектной и эксплуатационной документации).

·      Тестируются в ходе разработки и внедрении (подтверждаются результатами тестирования и ввода в эксплуатацию).

·      Оцениваются на предмет корректности и достаточности в процессе эксплуатации (периодически проверяются в ходе оценки защищенности).

5.    Успех выстраивания процессов S-SDLC заключается в четком определении процедур их выполнения на всех этапах жизненного цикла ПО.

6.    Внедрение S-SDLC не только позволяет добиться в целом повышения уровня безопасности ПО, но и повышает доступность сервисов и отказоустойчивость эксплуатируемого ПО. За счет выстроенных процессов S-SDLC сокращается время, требуемое для устранения недостатков ПО, снижается влияние выявленных уязвимостей и ошибок ПО на бизнес-процессы.

7.    Выполнение S-SDLC на каждой из стадий жизненного цикла ПО в крупной кредитно-финансовой организации может обеспечиваться как внутренними ресурсами разработчиков ПО ИТ-подразделения, силами подразделением ИБ, внешним подрядчиком либо комбинацией перечисленных ресурсов.

8.    Внедрение S-SDLC может осуществляться для всех форм и видов исполнения ПО, как для разрабатываемого/приобретаемого ПО, для нового ПО, так для уже разработанного и периодически модифицируемого ПО.