Программные продукты и системы /Software & Systems
№ 4 (112), 2015
УДК 004.056 Дата подачи статьи: 28.09.15
DOI: 10.15827/0236-235X.112.166-174
МЕТОДИЧЕСКИЙ АППАРАТ АНАЛИЗА И СИНТЕЗА КОМПЛЕКСА МЕР РАЗРАБОТКИ БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
A. В. Барабанов, к.т.н., директор, [email protected]
(НПО «Эшелон», ул. Электрозаводская, 24, г. Москва, 107023, Россия);
А.С. Марков, д.т.н., профессор, старший научный сотрудник, [email protected];
B. Л. Цирлов, кт.н., доцент, [email protected] (Московский государственный технический университет им. Н.Э. Баумана,
ул. 2-я Бауманская, 5, г. Москва, 105005, Россия)
Рассмотрены актуальные вопросы стандартизации серийного производства безопасных программных изделий. Исследованы организационно-технические меры по снижению количества уязвимостей при разработке и сопровождении ПО функционирования автоматизированных систем в защищенном исполнении. Проведена систематизация стандартов и рекомендаций в области разработки безопасного ПО. Выполнен анализ применимости существующих методических подходов к разработке безопасного ПО при проведении оценки соответствия требованиям безопасности информации, в том числе при сертификации программных средств. Показана целесообразность гармонизации разрабатываемых нормативных требований и практических мер с методологиями международных стандартов по линии ISO 15408 и ISO 12207. Введено понятие безопасного ПО. Разработан базовый набор требований, позволяющий проводить и оценку соответствия процессов разработки ПО требованиям к безопасному ПО. При этом обосновано, что набор требований должен опираться прежде всего на принятые политики безопасности и актуальные угрозы. Приведен пример разрабатываемых требований. Разработана оригинальная концептуальная модель анализа и синтеза комплекса мер разработки безопасного ПО, опирающаяся на набор формируемых требований. Показано, что концептуальная модель предоставляет разработчикам ПО возможность научно обоснованного выбора мер разработки ПО. Разработана общая методика выбора комплекса мер безопасной разработки ПО. Представлены косвенные подтверждения эффективности предлагаемого подхода. Отмечено, что предложенный подход лег в основу разработки национального стандарта в области разработки и производства безопасного ПО.
Ключевые слова: защита информации, безопасность программ, безопасный жизненный цикл, безопасное производство программ, безопасная программная инженерия, уязвимости, общие критерии, механизмы безопасности приложений.
Современное состояние информационной безопасности (ИБ) компьютерных систем характеризуется превалированием угроз, связанных с наличием как незакрытых известных, так и неизвестных уязвимостей. В то же время в стране фактически отсутствует регламентация безопасной разработки программных средств, ориентированная на снижение количества уязвимостей ИБ, формируемых на различных этапах жизненного цикла программ. В этом плане остается нерешенным вопрос проведения как спецэкспертиз (лицензирования) предприятий, так и проверки производств (оценки соответствия) серийных программных изделий по требованиям безопасности информации.
Это определяет исследовательскую задачу, состоящую в анализе и синтезе комплекса мер по разработке безопасного ПО, решение которой представлено в данной статье.
Содержательная постановка задачи исследования
Мерами по безопасной разработке ПО будем считать организационно-технические меры, направленные на создание программ с минимально возможным количеством уязвимостей и формирование среды обеспечения оперативного устранения уязвимостей, выявленных пользователями. Опыт
крупных разработчиков ПО показал, что внедрение подобных мер в жизненный цикл его разработки позволяет сократить число уязвимостей ПО в среднем на 80 % [1].
Безопасным будем считать ПО, разработанное с использованием совокупности указанных мер.
Цель исследования состоит в создании концептуального аппарата, позволяющего разработчикам ПО обоснованно формировать множество мер разработки безопасного ПО и с привлечением независимых организаций проводить оценку соответствия применяемых мер требованиям по разработке безопасного ПО.
В соответствии с целью необходимо поставить следующие частные задачи исследования:
- анализ существующих мер, направленных на уменьшение количества уязвимостей в разрабатываемом ПО, и их применимости при проведении оценки соответствия ПО;
- формирование базового набора требований к разработке безопасного ПО, позволяющего проводить оценку соответствия (в частном случае сертификацию) ПО данным требованиям;
- разработка концептуальной модели анализа и синтеза комплекса мер разработки безопасного ПО.
В качестве ограничения области исследования следует определить необходимость гармонизации
166
Программные продукты и системы /Software & Systems
№ 4 (112), 2015
получаемых решений с современной нормативной базой оценки соответствия в области ИБ (линейка ISO 15408/18045, Common Criteria) [2] и жизненного цикла программ (ISO 12207) [3].
Анализ стандартов по безопасной разработке
В настоящее время известен ряд корпоративных, отраслевых и международных стандартов, содержащих описание мер и механизмов, направленных на разработку безопасного ПО, например, ISO 15408 [4-6], ISO 27034-1, ISO TR 24772 [7], Microsoft Security Development Life Cycle [1], Cisco Security Development Life Cycle, OpenSAMM [8], OWASP CLASP [9].
Результаты сравнительного анализа указанных стандартов представлены в таблице 1.
На основании проведенного анализа сделаны следующие выводы.
1. Существуют достаточно детально проработанные стандарты на разработку безопасного ПО, направленные, как правило, на следующие цели:
- создание ПО с минимально возможным количеством уязвимостей и формирование среды для обеспечения оперативного устранения выявленных пользователем ПО проблем (уязвимостей ПО);
- реализация ПО элементов политики обеспечения безопасности среды (места) применения ПО
(политики ИБ организации или страны, где применяется ПО).
2. Для создания ПО с минимальным количеством уязвимостей и формирования среды устранения выявленных проблем рассмотренные документы предлагают использовать на различных стадиях жизненного цикла ПО совокупность мер разработки безопасного ПО. Предлагаемая номенклатура мер разработки безопасного ПО, как правило, является стандартной и содержит меры, связанные, например, с моделированием угроз, проведением статического и динамического анализа, тестирования на проникновение [10, 11].
3. Рассмотренные документы не содержат четко определенного аппарата, который можно было бы использовать для оценки соответствия процессов разработки ПО требованиям разработки безопасного ПО, например в рамках его сертификации. Следует отметить, что международный стандарт ISO 15408 в настоящее время широко используется при проведении сертификации ПО по требованиям безопасности информации, но использование положений только этого документа при разработке и последующей оценке соответствия безопасного ПО не является достаточным, поскольку, во-первых, стандарт применяется только для ПО с функциями безопасности, иначе говоря, для ПО, в котором функции безопасности не реализованы, не может быть написано требуемое стандартом зада-
Наличие в стандартах мер и механизмов, направленных на безопасность Security measures and mechanisms in standards
Таблица 1 Table 1
Мера и механизм Стандарт
ISO 15408 Microsoft SDL Cisco SDL Open SAMM OWASP CLASP ISO TR 24772 ISO 27034-1
Обучение сотрудников организации-разработчика разработке безопасного ПО - + + + - - -
Обеспечение безопасности инфраструктуры разработки ПО +
Управление конфигурацией разрабатываемого ПО +
Моделирование угроз безопасности информации, источником которых является ПО + + + + + - -
Определение требования по разработке безопасного ПО + + + + + - -
Использование стандарта на оформление исходного кода программы (правил и рекомендаций, направленных на минимизацию количества потенциально уязвимых конструкций в исходном коде программы) - + + + + + -
Проведение статического анализа исходного кода программы - + + + + - -
Проведение динамического анализа динамического кода программы - + + + + - -
Проведение экспертизы исходного кода программ в ручном режиме - + + + + - -
Проведение анализа уязвимостей - + + + + - -
Обеспечение безопасности поставки ПО пользователю + + + + - - -
Устранение уязвимостей ПО, выявляемых в процессе функционирования ПО + + + + + - -
Возможность использования документа при оценке соответствия ПО требованиям, предъявляемым к разработке безопасного ПО +
Наличие методики выбора подмножества мер разработки безопасного ПО + + + + - - +
Согласованность с процессами жизненного цикла ПО, определенными ISO 12207 +
167
Программные продукты и системы /Software & Systems
№ 4 (112), 2015
ние по безопасности и, соответственно, проведена оценка соответствия; во-вторых, предлагаемая в третьей части стандарта номенклатура мер разработки ПО не обладает полнотой: в частности, отсутствуют меры, связанные с проведением статического и динамического анализа, обучением сотрудников и др.
Базовый набор требований
Как известно, современное развитие отечественной системы сертификации средств защиты информации по требованиям безопасности информации связано с апробацией методологии Common Criteria (ISO 15408) [12]. По этой причине в данном исследовании было принято решение об использовании аппарата ISO 15408 при разработке концептуальной модели анализа и синтеза мер разработки безопасного ПО.
На рисунке 1 представлена последовательность формирования множеств функций безопасности ПО (объекта оценки) и мер обеспечения доверия к нему в соответствии с методологией ISO 15408.
При определении среды безопасности ПО приводится описание следующих аспектов безопасности среды, в которой предполагается использовать ПО:
- предположений безопасности, содержащих аспекты безопасности среды, в которой будет использоваться ПО или предполагается к использованию;
- угроз безопасности информации, касающихся активов, против которых требуется защита средствами ПО или его среды;
- политик безопасности организации, идентифицирующих и при необходимости объясняющих положения политики безопасности организации или правила, которым должно подчиняться ПО.
Цели безопасности отражают изложенное намерение противостоять всем установленным угрозам ИБ, а также охватывать все предположения безопасности и установленную политику безопасности организации. При изложении требований безопасности ПО должны быть определены функциональные требования (например, требования к идентификации/аутентификации или разграничению доступа) и требования доверия, которым должны удовлетворять ПО и процесс его разработки. Выбор функциональных требований безопасности и требований доверия к безопасности осуществляется из каталогов требований, представленных во второй и третьей частях стандарта. С целью удовлетворения идентифицированных функциональных требований безопасности и требований доверия формулируются перечни функций безопасности ПО и мер разработки ПО. Все идентифицированные множества (аспекты среды безопасности, цели, требования, меры) должны быть согласованы друг с другом (данная информация и необходимые пояснения приводятся, как правило, в задании по безопасности).
Обоснование
Обоснование
Обоснование
Рис. 1. Формирование множеств функций безопасности и мер доверия Fig. 1. Forming sets of security functions and confidence-building measures
168
Программные продукты и системы /Software & Systems
№ 4 (112), 2015
Для адаптации представленного на рисунке 1 порядка формирования и обоснования перечней функций безопасности ПО и мер разработки ПО, а также достижения цели настоящего исследования был получен базовый набор требований по разработке безопасного ПО. При формировании базового набора требований по разработке безопасного ПО учитывались следующие особенности.
1. С целью обеспечения практического применения и эффективного выполнения требований разрабатываемый набор должен согласовываться с международным стандартом ISO 12207, который описывает процессы жизненного цикла ПО [3, 13].
2. Поскольку известно, что стоимость устранения уязвимостей ПО в более поздних процессах жизненного цикла ПО (например, в процессе тестирования или поддержки ПО) выше, разрабатываемый набор требований должен обеспечить внедрение необходимых мер на самых ранних стадиях разработки ПО [14, 15].
3. Для решения задачи разработки аппарата проведения оценки соответствия ПО разрабатываемым требованиям при формировании отдельных требований должны быть учтены аспекты, связанные с формированием требований к документальным свидетельствам выполнения требования и к действиям оценщика (например, эксперта испытательной лаборатории), выполняемым в ходе оценки соответствия ПО требованиям к безопасному ПО [7].
При выполнении исследования с целью учета выявленных особенностей было предложено использовать следующий набор параметров при описании требования по разработке безопасного ПО:
- название требования;
- уникальный идентификатор требования;
- ссылка на процесс жизненного цикла ПО, установленный стандартом ISO 12207, в ходе которого может быть выполнено требование;
- цель в области разработки безопасного ПО, достигаемая разработчиком при выполнении данного требования;
- элементы действий разработчика, содержащие описание действий разработчика ПО, направленных на удовлетворение требования;
- элементы содержания и представления документированных свидетельств выполнения требования;
- элементы действий оценщика, содержащие описание действий оценщика, направленных на независимую проверку выполнения разработчиком ПО требования;
- примечание с пояснительным текстом.
В ходе выполнения исследования на основе существующих стандартов и методологий разработки безопасного ПО синтезировано множество B = (Рь Р2, ..., Р24} требований по разработке безопасного ПО (см. табл. 2).
Так как статический анализ безопасности программ является наиболее результативным (к сожа-
лению, весьма трудоемким [16-18]), целесообразно следовать следующим разработанным требованиям КК-4 (Р7).
Название: статический анализ исходного кода программы.
Идентификатор требования: КК-4.
Процесс жизненного цикла ПО: процессы конструирования и комплексирования ПО.
Цель: выявление и устранение потенциально уязвимых конструкций в исходном коде программы, а также формирование исходных данных для выполнения задач динамического анализа и тестирования на проникновение в рамках процесса квалификационного тестирования ПО.
Элементы действий разработчика: разработчик ПО должен проводить статический анализ исходного кода программы с целью выявления потенциально уязвимых конструкций в исходном коде программы; статический анализ исходного кода программы следует проводить в отношении заимствованных у сторонних разработчиков ПО компонентов, если для них доступен исходный код программы; по результатам статического анализа исходного кода программы может проводиться доработка программы; при отсутствии необходимости в такой доработке или невозможности доработки программы разработчик должен документировать обоснование этого факта.
Элементы содержания и представления документированных свидетельств - документированные свидетельства статического анализа исходного кода программы должны содержать
- сведения о периодичности проведения статического анализа исходного кода программы;
- наименование и идентификационные признаки инструментальных средств, используемых для проведения статического анализа исходного кода программы;
- список выявленных потенциально уязвимых конструкций в исходном коде программы (при выявлении), описание действий, направленных на их устранение, или обоснование невозможности или отсутствия необходимости в доработке программы.
Элементы действий оценщика: оценщик должен исследовать представленные свидетельства и подтвердить, что они удовлетворяют предъявляемым требованиям, а также сделать независимое заключение, что разработчик выполняет статический анализ исходного кода программы по результатам опроса работников организации-разработчика ПО, имеющих отношение к разработке ПО, и анализ среды разработки ПО.
Примечание: статический анализ исходного кода программы выполняется разработчиком ПО или сторонними организациями, обладающими компетенцией в области выявления уязвимостей ПО, для актуальной версии кода программы; стати-
169
Программные продукты и системы /Software & Systems
№ 4 (112), 2015
Предлагаемый базовый набор требований по разработке безопасных программ The suggested core set of requirements to develop secure programs
Таблица 2 Table 2
Идентификатор требования Краткое содержание требования Процесс жизненного цикла ПО (ISO 12207)
АТ-1 (Pi) Разработчик ПО должен определить требования в части разработки безопасного ПО, предъявляемые к разрабатываемому ПО Процесс анализа требований к ПО
ПА-1 (P2) Разработчик ПО должен выполнить моделирование угроз безопасности информации, источником которых является ПО, с целью выявления потенциальных угроз безопасности информации и обоснования требований к ПО Процесс проектирования и детального проектирования архитектуры ПО
ПА-2 (Рз) Архитектура ПО (логическая структура ПО, в которой идентифицированы компоненты, их интерфейсы и концепция взаимодействия между ними) должна уточняться с учетом необходимости нейтрализации потенциальных угроз безопасности информации, которые были выявлены на этапе моделирования угроз безопасности информации, и выполнение требований в части разработки безопасного ПО, установленных в процессе анализа требований к ПО Процессы проектирования и детального проектирования архитектуры ПО
КК-1 (Р4) Разработчик ПО должен идентифицировать каждое инструментальное средство, используемое при разработке ПО Процессы конструирования и комплексирования ПО
КК-2 (Рз) Разработчик ПО должен создавать программу на основе архитектуры ПО, определенной в ходе выполнения процессов проектирования и детального проектирования архитектуры ПО Процессы конструирования и комплексирования ПО
МДК-3 (Р is) Система управления конфигурацией ПО должна идентифицировать элементы конфигурации, которые связаны с реализацией функций безопасности ПО Процесс менеджмента документации и конфигурации ПО
МДК-4 (Р19) Система управления конфигурацией ПО должна предоставлять средства для определения всех элементов конфигурации, на которые воздействует модификация данного элемента конфигурации Процесс менеджмента документации и конфигурации ПО
МИ-1 (Р20) Разработчиком ПО должны применяться технические и организационные меры, обеспечивающие защиту от несанкционированного доступа к элементам конфигурации Процесс менеджмента инфраструктуры
МИ-2 (Р21) Разработчиком ПО должны применяться технические и организационные меры, обеспечивающие резервное копирование и восстановление элементов конфигурации Процесс менеджмента инфраструктуры
МИ-3 (Р22) Разработчиком ПО должны применяться технические и организационные меры, обеспечивающие регистрацию всех событий, связанных с фактами изменения элементов конфигурации, в журнале регистрации событий Процесс менеджмента инфраструктуры
МЛР-1 (Р23) Разработчик ПО должен проводить периодическое обучение сотрудников с целью повышения их осведомленности в области разработки безопасного ПО Процесс менеджмента людских ресурсов
МЛР-2 (Р24) Разработчик ПО должен проводить периодический анализ программы обучения сотрудников для установления ее пригодности, адекватности и результативности для достижения установленных целей в области разработки безопасного ПО Процесс менеджмента людских ресурсов
ческий анализ исходного кода программы позволяет выполнить поиск потенциально уязвимых конструкций в исходном коде программы, которые могут привести к наличию уязвимости ПО, а также проверять соответствие исходного кода программы принятому в организации стандарту оформления исходного кода программы.
Представленный базовый набор требований разработки безопасного ПО использовался при создании концептуальной модели анализа и синтеза комплекса мер разработки безопасного ПО.
Концептуальная модель
Введем следующие множества для описания концептуальной модели анализа и синтеза мер разработки безопасного ПО.
При описании среды разработки ПО следует определить:
- множество угроз ИБ, которые являются актуальными для среды разработки ПО: U = {т, u, ...,
ua};
- множество идентифицированных положений политик ИБ, которым должна соответствовать среда разработки ПО: P = {pi, p2, ..., pb}.
Заметим, что в соответствии с ISO 15408 угрозы безопасности информации можно описать в неформальном (содержательном) стиле с использованием таких характеристик, как аннотация угрозы ИБ; источник угрозы ИБ; способ реализации угрозы ИБ; используемые уязвимости; вид информационных ресурсов среды разработки ПО, потенциально подверженных угрозе ИБ; нарушаемое свойство безопасности информационных ресурсов
170
Программные продукты и системы /Software & Systems
№ 4 (112), 2015
Обоснование
Обоснование
Обоснование
Рис. 2. Формирование комплекса мер разработки безопасных программ Fig. 2. Forming a set of measures for secure programs development
среды разработки ПО; возможные последствия реализации угрозы ИБ.
При описании среды безопасности согласно ISO 15408 (см. рис. 1) предусмотрено использование дополнительного множества предположений безопасности. Однако, так как при проведении анализа и синтеза комплекса мер разработки безопасного ПО среда разработки ПО точно идентифицирована и определена, формирование перечня предположений является избыточным.
Для достижения идентифицированных политик безопасности и нейтрализации идентифицированных угроз ИБ следует сформировать множество целей разработки безопасного ПО:
O = {oi, o2, oc}.
Разработчик из определенного ранее множества B для своей конкретной инфраструктуры может выбрать подмножество требований, подлежащих выполнению:
R = {r1, r2, ..., rd}, R c B, d < 24.
Для выполнения идентифицированных требований разработчик ПО может сформировать и реализовать в среде разработки ПО комплекс мер разработки безопасного ПО, а именно множество C = {ci, c2, ..., ce}.
Введем следующие отображения:
Fo: U и P ^ 0 - процедура формирования целей разработки безопасного ПО;
Fr: B и 0 ^ R - процедура выбора требований по разработке безопасного ПО;
Fc: R ^ C - процедура синтеза мер разработки безопасного ПО.
Разработанная концептуальная модель характеризуется кортежем (B, U, P, O, R, Fo, Fr, Fc).
При разработке модели предполагаем, что все требования являются нефункциональными, иначе говоря, по сути это аналоги требований доверия по ISO 15408-3 (рис. 2).
В ходе проведения исследования была разработана общая методика анализа и синтеза мер разработки безопасного ПО, включающая выполнение следующих этапов и шагов.
Этап 1. Идентификация и описание аспектов безопасности среды разработки ПО, включающих следующие шаги.
Шаг 1. Формирование множества U = {u1, u2, ..., ua} угроз ИБ, которые являются актуальными для среды разработки ПО.
Шаг2. Формирование множества P = {p1,p2, ..., pb} положений политик ИБ, которым должна соответствовать среда разработки ПО. В качестве источников для формирования множества политик безопасности могут использоваться требования законов, нормативных правовых актов, отраслевых стандартов, перечень требований пользователя, сценарии использования ПО.
Этап 2. Формирование и обоснование множества целей разработки безопасного ПО, включающие следующие шаги.
Шаг 3. Формирование множества целей разработки безопасного ПО: ot = Fo (uj,p ); i = 1;c .
171
Программные продукты и системы /Software & Systems
№ 4 (112), 2015
Шаг 4. Обоснование полноты и достаточности сформулированного множества целей разработки безопасного ПО. Обоснование должно показывать, что изложенные цели охватывают все идентифицированные аспекты безопасности (множества угроз ИБ и положений политик ИБ) среды разработки ПО. Данная демонстрация выполняется следующим образом:
а) обоснование полноты с использованием перекрестных ссылок - цели разработки безопасного ПО, направленные на учет идентифицированных множеств угроз ИБ и положений политики ИБ, целесообразно оформить в виде таблицы, которая должна наглядно показывать, что
- каждая цель охватывает, по крайней мере, одну угрозу ИБ или положение политики ИБ;
- каждая угроза ИБ или положение политики по безопасности охвачены, по крайней мере, одной целью разработки безопасного ПО;
б) обоснование достаточности множества целей разработки безопасного ПО - необходимо продемонстрировать, что множества целей разработки безопасного ПО достаточно для учета всех аспектов среды разработки ПО; для этого таблицу соответствия целей и аспектов среды разработки ПО необходимо дополнить следующим неформальным пояснением:
- для каждой угрозы ИБ необходимо продемонстрировать, что изложенные цели позволяют выполнить нейтрализацию данной угрозы ИБ;
- для каждого положения политики ИБ необходимо показать, каким образом изложенные цели обеспечивают ее выполнение.
Этап 3. Выбор и обоснование требований по разработке безопасного ПО, включающие следующие шаги.
Шаг 5. Формирование множества требований по разработке безопасного ПО на основе базового набора требований с учетом необходимости достижения идентифицированных целей: rm=FR(b„, o,); m = 1, c .
Шаг 6. Обоснование полноты и достаточности выбранного множества требований по разработке безопасного ПО. Обоснование выполняется аналогично описанному в шаге 4, с использованием перекрестных ссылок и неформального пояснительного теста.
Этап 4. Синтез и обоснование мер разработки безопасного ПО.
Шаг 7. На основе множества идентифицированных требований по разработке безопасного ПО и информации о конкретной среде разработки ПО, технологиях и инструментальных средствах, применяемых при разработке, необходимо сформулировать множество мер разработки безопасного ПО, которые планируется применять в среде разработки ПО: cq = Fc (rm); q = lie .
Шаг 8. Обоснование полноты и достаточности синтезированного множества мер разработки без-
опасного ПО. Обоснование выполняется аналогично описанному в шаге 4, с использованием перекрестных ссылок и неформального пояснительного теста.
Переход к математическим моделям
Предложенная концептуальная модель также может быть взята за основу при разработке математических моделей безопасной разработки, например, многофакторных моделей [19]:
K K K
P = TtiPi + TtuPiPj + Жр +• • •,
i=1 j i=1
где k, - коэффициент i-й меры; K < 24 - число мер.
Следует отметить, что в работе не ставилась цель получить значения указанных математических показателей, однако эффективность предложенного концептуального подхода была подтверждена результатами сравнения уровня уязвимости программных продуктов, разработанных в организациях, имеющих авторитетные зарубежные сертификаты на системы менеджмента ИБ, и продуктов, разработанных иными разработчиками ПО. Анализ статистики за 2008-2015 гг. показал, что обобщенный показатель числа уязвимостей в продуктах первой категории ниже в 5 раз, чем аналогичный показатель у продуктов второй категории [20].
В заключение отметим, что в ходе проведенных исследований были получены следующие основные результаты.
Выполнен анализ существующих мер и подходов, направленных на уменьшение количества уязвимостей в разрабатываемом ПО, и их применимости при проведении оценки соответствия ПО требованиям по безопасности информации. В результате установлено, что на сегодняшний момент существует ряд стандартов различного уровня, посвященных разработке безопасного ПО. Вместе с тем нет единого подхода, оформленного в форме нормативного документа, обеспечивающего
- интеграцию с существующими стандартами, определяющими процессы жизненного цикла программ, например, определенными ISO 12207;
- обоснованный выбор совокупности мер разработки безопасного ПО;
- оценку соответствия процессов создания программных изделий требованиям разработки безопасного ПО, в первую очередь, в рамках обязательной сертификации серийных программных средств защиты информации (при аттестации производства) и обязательного лицензирования таких видов деятельности, как производство программных средств защиты информации.
На основе анализа, систематизации и обобщения стандартов в области разработки безопасного ПО разработан базовый набор из 24 требований по разработке безопасного ПО. Отличительные особенности разработанного базового набора требований:
172
Программные продукты и системы /Software & Systems
№ 4 (112), 2015
- наличие перекрестных ссылок на процессы жизненного цикла ПО, определенные ISO 12207, что обеспечивает более простую интеграцию в уже существующие в организации-разработчике ПО процессы разработки ПО;
- наличие требований к документированным свидетельствам выполнения требований и к действиям независимого оценщика, что позволяет детерминировать процесс независимой оценки соответствия процессов разработки ПО требованиям разработки безопасного ПО, например, в рамках сертификации ПО.
Предложена концептуальная модель анализа и синтеза мер разработки безопасного ПО, которая обеспечивает возможность обоснованного выбора мер разработки безопасного ПО и обладает свойством согласованности со стандартами линейки Common Criteria. Это позволяет выполнить внедрение предложенной в рамках модели методики анализа и синтеза комплекса мер разработки безопасного ПО в организациях, уже имеющих опыт проведения сертификации разрабатываемого ПО в соответствии с методологией ISO 15408.
Концептуальная модель анализа и синтеза комплекса мер разработки безопасного ПО использовалась при разработке проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Общие требования», прошедшего экспертизу в рамках работы Технического комитета по стандартизации ТК-362 «Защита информации».
Литература
1. Howard M., Lipner S. The security development lifecycle: a process for developing demonstrably more secure software. Microsoft Press, 2006, 352 p.
2. Markov A., Luchin D., Rautkin Y., Tsirlov V. Evolution of
a radio telecommunication hardware-software certification paradigm in accordance with information security requirements. Proc. 11th Intern. Siberian Conf. on Control and Communications (Omsk, Russia, May 21-23, 2015). SIBCON-2015. IEEE, 2015, pp. 1-4; URL: http://dx.doi.org/10.1109/SIBCON.2015.7147139 (дата
обрпщения: 20.09.2015).
3. Липаев В.В. Развитие базовых стандартов программной инженерии // Программная инженерия. 2012. № 6. С. 2-7.
4. Biro M., Molnar B. Synergies between the common criteria and process improvement. LNCS, 2007, no. 4764, pp. 31-45; URL: http://dx.doi.org/10.1007/978-3-540-75381-0_4 (дата обращения: 20.09.2015).
5. Kara M. Review on Common Criteria as a secure software development model. IJCSIT, 2012, vol. 4, no. 2 (Apr. 2012), pp. 83-94. DOI = http://dx.doi.org/10.5121/ijcsit.2012.4207.
6. Lee M.-G., Sohn H.-J., Kim B.-M., Kim J. B. A Study on secure SDLC Specialized in Common Criteria. ASTL, 2015, no. 93, pp. 11-23.
7. Barabanov A., Markov A., Fadin A., Tsirlov V., Shakha-lov I. Synthesis of Secure Software Development controls. Proc. 8th Intern. Conf. SIN '15 (Sochi, Russian Federation, September 08-10, 2015). ACM, NY, USA, 2015, pp. 93-97; URL: http://dx.doi.org/ 10.1145/2799979.2799998 (дата обращения: 20.09.2015).
8. Барабанов А.В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1 (1). С. 37-41.
9. De Win B., Scandariato R., Buyens K., Gregoire J., Joosen W. On the Secure Software Development Process: CLASP, SDL and touchpoints compared. information and software technology, 2009, vol. 51, no. 7 (Jul. 2009), pp. 1152-1171; URL: http://dx.doi.org/ 10.1016/j.infsof.2008.01.010 (дата обращения: 20.09.2015).
10. Essafi M., Ghezala H.B. Meta-modeling based secure software development processes. IJSSE, 2014, no. 5 (3) (Jul.-Sep. 2014), pp. 56-74; URL: http://dx.doi.org/10.4018/ijsse.2014070104 (дата обращения: 20.09.2015).
11. Fal' A.M. Standardization in information security management. Cybernetics and Systems Analysis, 2010, vol. 46, no. 3 (May 2010), pp. 512-515; URL: http://dx.doi.org/10.1007/ s10559-010-9227-9 (дата обращения: 20.09.2015).
12. Barabanov A., Markov A. Modern trends in the regulatory framework of the information security compliance assessment in russia based on Common Criteria. Proc. 8th Intern. Conf. SIN '15 (Sochi, Russian Federation, September 08-10, 2015). ACM, NY, USA, 2015, pp. 30-33; URL: http://dx.doi.org/10.1145/2799979. 2799980 (дата обращения: 20.09.2015).
13. Невлюдов И.Ш., Андрусевич А.А., Евсеев В.В. Анализ жизненного цикла разработки программного обеспечения для корпоративных информационных систем // Восточ.-Европ. журн. передовых технологий. 2010. Т. 6. № 8 (48). С. 25-27.
14. Рибер Г., Малмквист К., Щербаков А. Многоуровневый подход к оценке безопасности программных средств // Вопросы кибербезопасности. 2014. № 1 (2). С. 36-39.
15. Viega J., McGraw G. Building Secure Software: how to avoid security problems the Right Way. Addison-Wesley Professional, 2001, 528 p.
16. Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения // Вопросы кибербезопасности. 2014. № 3 (4). С. 20-28.
17. Демин А.А., Карпунин А.А., Ганев Ю.М. Методы верификации и валидации сложных программных систем // Программные продукты и системы. 2014. № 108. С. 229-233.
18. Ardi S., Shahmehri N. Introducing vulnerability awareness to Common Criteria's security targets. Proc. 4th Intern. Conf. on Software Engineering Advances (20-25 Sept. 2009, Porto). ICSEA '09. IEEE Xplore Digital Library, 2009, pp. 419-424; URL: http://dx.doi.org/10.1109/ICSEA.2009.67 (дата обращения: 20.09.2015).
19. Марков А.С., Ларионцева Е.А., Стельмашук Н.Н. Многофакторные модели планирования сертификационных испытаний программных средств защиты информации // Вопросы радиоэлектроники. 2013. Т. 3. № 2. С. 76-83.
20. Марков А.С., Цирлов В.Л. Опыт выявления уязвимостей в зарубежных программных продуктах // Вопросы кибербезопасности. 2013. № 1 (1). С. 42-48.
DOI: 10.15827/0236-235X.112.166-174 Received 28.09.15
A METHODICAL FRAMEWORK OF ANALYSIS AND SYNTHESIS OF SECURE SOFTWARE
DEVELOPMENT CONTROLS
Barabanov A. V., Ph.D. (Engineering), Head of Department, [email protected] (Research And Production Association "Echelon ", Elektrozavodskaya St. 24, Moscow, 107023, Russian Federation); Markov A.S., Dr.Sc. (Engineering), Senior Researcher, Professor, [email protected];
Tsirlov V.L., Ph.D. (Engineering), Associate Professor, [email protected] (Bauman Moscow State Technical University, 2nd Baumanskaya St. 5, Moscow, 105005, Russian Federation)
173
Программные продукты и системы /Software & Systems
№ 4 (112), 2015
Abstract. The paper considers important issues of secure software products standardization of serial production. The authors analyze organizational and technical measures aimed to reduce the number of vulnerabilities when developing and maintaining secure automated systems software. They also systematize standards and guidelines for secure software development. The authors analyze the applicability of the existing methodological approaches to secure software development during information security assessment (including for the software certification). They show harmonization expediency of the developed regulations and practical measures with the international standards like ISO 15408 and ISO 12207.The paper introduces the concept of secure software. There also is a basic set of requirements to assess compliance of the secure software development process. In this case the set of requirements should be based on information security policies and current threats. There is an example of developed requirements. The authors developed the original conceptual model for the analysis and synthesis of secure software development controls based on a set of generated requirements. The conceptual model gives software developers the ability of science-based choice of software development methods. The authors suggest a general method of selecting a secure software development set. There is the indirect evidence of the proposed approach effectiveness. It is noted that the proposed approach was the basis for a national standard regarding security software development.
Keywords: information security, software security, secure lifecycle, software development security, secure software engineering, vulnerability, common criteria, application security controls.
References
1. Howard M., Lipner S. The Security Development Lifecycle: A Process for Developing Demonstrably More Secure Software. Microsoft Press, 2006, 352 p.
2. Markov A., Luchin D., Rautkin Y., Tsirlov V. Evolution of a Radio Telecommunication Hardware-Software Certification Paradigm in Accordance with Information Security Requirements. Proc. of the 11th Int. Siberian Conf. on Control and Communications (SIBCON-2015). IEEE, 2015, pp. 1-4.
3. Lipaev V.V. Software Engineering basic standards development. Programmnaya inzheneriya [Software Engineering]. 2012, no. 6, pp. 2-7 (in Russ.).
4. Biro M., Molnar B. Synergies Between the Common Criteria and Process Improvement. LNCS. 2007, no. 4764, pp. 31-45.
5. Kara M. Review on Common Criteria as a Secure Software Development Model. IJCSIT. 2012, vol. 4, no. 2, pp. 83-94.
6. Lee M.-G., Sohn H.-J., Kim B.-M., Kim J. B. A Study on Secure SDLC Specialized in Common Criteria. ASTL. 2015, no. 93, pp. 11-23.
7. Barabanov A., Markov A., Fadin A., Tsirlov V., Shakhalov I. Synthesis of Secure Software Development Controls. Proc. of the 8th Int. Conf. on Security of Information and Networks (SIN '15). ACM New York, NY, USA, 2015, pp. 93-97.
8. Barabanov A.V. The standardization of the process of developing security software. Voprosy kiberbezopasnosti [Cybersecurity Issues]. 2013, no. 1 (1), pp. 37-41 (in Russ.).
9. De Win B., Scandariato R., Buyens K., Gregoire J., Joosen W. On the Secure Software Development Process: CLASP, SDL and Touchpoints Compared. Information and Software Technology. 2009, vol. 51, no. 7, pp. 1152-1171.
10. Essafi M., Ghezala H.B. Meta-Modeling Based Secure Software Development Processes. IJSSE. 2014, no. 5 (3), pp. 56-74.
11. Fal' A. M. Standardization in information security management. Cybernetics and Systems Analysis. 2010, vol. 46, no. 3, pp. 512-515.
12. Barabanov A., Markov A. Modern Trends in The Regulatory Framework of the Information Security Compliance Assessment in Russia Based on Common Criteria. Proc. of the 8th Int. Conf. on Security of Information and Networks (SIN '15). ACM New York, NY, USA, 2015, pp. 30-33.
13. Nevlyudov I.Sh., Andrusevich A.A., Evseev V.V. Software development lifecycle analysis for corporate information systems. Vostochno-Evropeyskyzhurnalperedovykh technology [Eastern-European Journal of Enterprise Technologies]. 2010, vol. 6, no. 8 (48), pp. 25-27.
14. Riber G., Malmkvist K., Shcherbakov A. Mapping the application security terrain. Voprosy kiberbezopasnosti [Cybersecurity Issues]. 2014, no. 1 (2), pp. 36-39 (in Russ.).
15. Viega J., McGraw G. Building Secure Software: How to Avoid Security Problems the Right Way. Addison-Wesley Prof.Publ., 2001, 528 p.
16. Avetisyan A.I., Belevantsev A.A., Chuklyaev I.I. The technologies of static and dynamic analyses detecting vulnerabilities of software. Voprosy kiberbezopasnosti [Cybersecurity Issues]. 2014, no. 3 (4), pp. 20-28 (in Russ.).
17. Demin A.A., Karpunin A.A., Ganev Yu.M. Verification and validation methods for complex software systems. Pro-grammnyeprodukty i sistemy [Software & Systems]. 2014, no. 4 (108), pp. 229-233 (in Russ.).
18. Ardi S., Shahmehri N. Introducing Vulnerability Awareness to Common Criteria's Security Targets. Proc. of 4th Int. Conf. on Software Engineering Advances. ICSEA '09. IEEEXplore Digital Library. 2009, pp. 419-424.
19. Markov A.S., Lariontseva E.A., Stelmashuk N.N. Multifactor planning models for information security software certification tests. Voprosy radioelektroniki [Radio Electronics Questions]. 2013, vol. 3, no. 2, pp. 76-83 (in Russ.).
20. Markov A.S., Tsirlov V.L. Experience in identifying vulnerabilities in software. Voprosy kiberbezopasnosti [Cybersecurity Issues]. 2013, no. 1 (1), pp. 42-48 (in Russ.).
174