Безопасность инфраструктуры

Подробнее

Безопасность приложений

Подробнее

Безопасность процессов

Подробнее

Безопасность процессов разработки

Анализ процессов управления разработкой позволяет оценить текущий процесс разработки программного обеспечения с точки зрения безопасности. В ходе аудита проверяется уровень зрелости процессов управления безопасной разработкой, определяются недостатки и направления для дальнейшего их усовершенствования. Аудит может проводиться как на соответствие распространенным методологиям и стандартам (MS SDL, PA-DSS и пр.), так и в виде экспертной оценки, позволяющей получить всестороннюю информацию о безопасности процессов разработки. Аудит проводится путем изучения документации, интервьюирования разработчиков, наблюдения записей и результатов исполнения процессов, проверок конфигураций. Основные вопросы, охватываемые экспертной оценкой:

  • оценка рисков в контексте функционирования ПО и определение необходимого уровня безопасности
  • методики и процедуры безопасной разработки
  • учет методиками и процедурами отраслевых стандартов безопасности и характерных для среды практик безопасного программирования
  • охват методиками и процедурами всех характерных методов и подходов к безопасному программированию, а также известных распространенных ошибок, приводящих к уязвимостям
  • знание и соблюдение сотрудниками (разработчиками, тестировщиками) данных методик и процедур
  • поддержка актуального уровня знаний по вопросам ИБ в соответствии с обязанностями сотрудников
  • контроль соблюдения методик и процедур
  • формализованный процесс внесения изменений в исходные коды, выпуска обновлений и новых версий
  • защита исходных кодов от несанкционированных изменений
  • проведение тестирований по вопросам безопасности ПО, покрывающих всю функциональность
  • формализованный процесс выявления и своевременного исправления ошибок и уязвимостей кода, включая проведение проверок кода на уязвимости в автоматическом и ручном режимах
  • разделение обязанностей по разработке и тестированию между различными сотрудниками
  • разделение сред разработки и тестирования
  • ответственность за соблюдение введенных требований по безопасной разработке
  • руководство по безопасному конфигурированию для пользователя с указанием возможных рисков при использовании тех или иных функций
  • контроль появления известных уязвимостей, обнаруженных третьими лицами
  • своевременное реагирование на появление известных уязвимостей, разработка обновлений в случае необходимости
  • уведомление пользователей о выпуске обновлений и новый версий
  • безопасная передача ПО и обновлений конечным пользователям и др.
Дополнительные услуги по обеспечению безопасности разработки Ниже приведена краткая информация по прочим услугам, направленным на обеспечение безопасности разработок:
  • консалтинг по процессам управления информационной безопасностью (включая безопасную разработку), устранению выявленных недостатков, разработке и доработке документации
  • приведение в соответствие требованиям международных стандартов по информационной безопасности (PA-DSS, ISO27001 и др.), а также прочим нормативным документам и требованиям
  • аудит инфраструктуры компании с целью выявления уровня защищенности и возможности получения злоумышленниками доступа к разработкам и другим критическим данным (может быть выполнен как в виде тестирования на проникновение, так и аудита «белым ящиком»)
  • поставка ПО или предоставление сервисов для анализа безопасности разрабатываемых приложений.



© ООО «Инксекьюрити», 2014-2017

+7 495 775-75-74
info@incsecurity.ru