29.02.2012

Требования к разработчикам ДБО

В последнее время сдвинулся с мертвой точки такой непростой вопрос, как установка требований по безопасности не только для разработчиков средств защиты, но и для разработчиков прикладных систем, в частности систем ДБО. Об этом активно говорили на Магнитогорской конференции, называя низкую защищенность систем ДБО одной из ключевых причин хищений средств со счетов клиентов. В России сейчас формируются такие требования, которые установят для разработчиков ДБО единые правила, которые надо будет соблюдать для работы на рынке.

Но Россия тут не пионер. Одним из первых к этой теме обратился PCI SSC, который выработал определенные требования к разработке платежных приложений - стандарт PA DSS. Правда, подпадают под него далеко не все приложения, которые обрабатывают финансовые потоки. В т.ч. под него спокойно могут не попасть многие системы ДБО, особенно для юридических лиц, т.к. они не обрабатывают данные платежных карт. Но как основа для формирования собственных требований данный стандарт подходит достаочно неплохо.

Еще один интересный документ был опубликован совсем недавно - в январе этого года. Речь идет о Software Assurance Framework от BITS - подразделения по разработке технологических политик Financial Services Roundtable. Этот 53-хстраничный документ, который описывает целую программу защищенной разработки ПО для финансовых институтов. 8 частей этого документа охватывают все необходимые темы при разработке защищенных приложений:
  • Обучение и тренинги разработчиков
  • SDLC. Тема SDLC становится достаточно популярной в последнее время. И я про нее писал в блоге и в отдельной статье в "ИТ Менеджере". Эта же тема освещается и на специализированной конференции в России - SECR.
  • Моделирование угроз. BITS упоминает Microsoft STRIDE, хотя таких стандартов и рекомендаций существует десятки (я их рассматриваю в курсе по моделированию угроз). И писал про это недавно.
  • Лучшие практики программирования. Интересно, что BITS не выдумывает ничего своего, а отсылает к уже существующим практикам - OWASP Secure Coding Practices Guide, Department of Homeland Security Build Security In Portal, CERT Secure Coding, MSDN Security Developer Center и т.д.
  • Тестирование безопасности. Этот кусок очень неплохо расписан - упомянуты различные программные продукты, виды анализа кода и т.д.
  • Практика предварительного внедрения
  • Документирование. Раздел подробно описывает, какие документы должны сопровождать разработку и тестирование программного обеспечения.
  • Контроль пост-внедрения.
В приложении даны примеры программ трех обучающих курсов для разработчиков платежных приложений.

В качестве заключения хочу отметить, что разработчикам приложений (и не только финансовых) пора уже больше внимания уделять правилам защищенной разработки программного обеспечения. А клиентам могу посоветовать быть более требовательными при общении с разработчиками.

    2 коммент.:

    Сергей комментирует...

    Мечта [S]идиота[/S] оператора - коробка (пусть и с железками) = функционал+защита. За оператором только оргмеры.

    Сергей Борисов комментирует...

    В СТО БР ИББС тоже есть требования к ДБО. В том числе к разработчикам.

    Но они медленнее всего выполняться.
    Тут ведь не решить дело просто установкой СЗИ. Тут надо ТЗ разработчику на доработку системы. А иногда это уже не возможно и тогда надо делать ТЗ на разработку новой системы ДБО.