1 / 10

Sveučilište u Splitu Sveučilišni odjel za stručne studije

Sveučilište u Splitu Sveučilišni odjel za stručne studije. Upravljanje rizicima. Sigurnosni softverski inženjering. Joško Smolčić Sandra Antunović Terzić. Split, 05.2012. Sadržaj. Sigurnosni softverski inženjering Cilj sigurnosnog softverskog inženjeringa Zrelost i relevantnost iskustva

ardice
Download Presentation

Sveučilište u Splitu Sveučilišni odjel za stručne studije

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sveučilište u SplituSveučilišni odjel za stručne studije Upravljanje rizicima Sigurnosni softverski inženjering Joško Smolčić Sandra Antunović Terzić Split, 05.2012

  2. Sadržaj • Sigurnosni softverski inženjering • Cilj sigurnosnog softverskog inženjeringa • Zrelost i relevantnost iskustva • Zaključak

  3. Sigurnosni softverski inženjering • Softver je sveprisutan. • Mnogi proizvodi, usluge i procesi koje organizacije koriste su često jako ovisni o softveru a pritom se radi s osjetljivim i visokovrijednim podacima o kojima ovise privatnost, i egzistencija ljudi. • Ranjivost softvera može ugroziti intelektualno vlasništvo, povjerenje potrošača, poslovne operacije i usluge.

  4. Sigurnosni softverski inženjering Nacionalna sigurnost počiva na krajnje složenim, međusobno povezanim softverskim informacijskim sistemima koji u mnogim slučajevima koriste internet ili internetu izložene privatne mreže kao sredstvo komunikacije ili prenošenja podataka.

  5. Sigurnosni softverski inženjering • Prema istraživanju 169 najvećih globalnih financijskih institucija, postojeće zaštite softvera nisu više adekvatne – sigurnost softvera je problem broj jedan za IT službe. • Nedostatak sigurnosne discipline u današnjim praksama softverskog razvoja često rezultira razvojem softvera sa iskoristivim slabostima. • U mnogim slučajevima, kada se odluka svede na "dostavi odmah" ili "poradi na sigurnosti i dostavi kasnije", trenutna dostava je gotovo uvijek izbor onih koji kontroliraju novac.

  6. Cilj sigurnosnog softverskog inženjeringa • Cilj softverskog sigurnosnog inženjeringa je izgraditi bolje, savršenije softvere bez nedostataka • Softver koji se razvija i sastavlja poštujući pravila o sigurnosti softvera trebao bi imati značajno manji broj iskoristivih nedostataka. • Softverski sigurnosni inženjering je korištenje iskustva, procesa, alata i tehnika za rješavanje problema u svakoj fazi životnog ciklusa izrade softvera.

  7. Cilj sigurnosnog softverskog inženjeringa Softverski intenzivni sistemi koji su osmišljeni uz korištenje sigurnijih softvera su bolji jer: • Nastavljaju pravilno raditi u prisustvu većine napada bilo pružajući otpor iskorištavanju nedostataka samog softvera bilo tolerirajući kvarove koje su rezultat takvih iskorištavanja. • Ograničavaju štetu nastalu zbog kvarova nastalih zbog napada kojima se softver nije mogao oduprijeti ili toleriraju i brzo se oporavljaju od tih kvarova.

  8. Zrelost i relevantnost prakse • Uočeno je kako su neka softverska sigurnosna iskustva u široj upotrebi i time više testirana i zrelija nego druga kao npr. praksa sigurnosnog kodiranja i testiranja povredljivosti. • Prilikom odabira određene prakse kojom ćemo se služiti u poboljšavanju sigurnosti aplikacija koristimo dva praktična načina: • Određivanje relativne zrelosti prakse. • Određivanje tipova korisnika.

  9. Zrelost i relevantnost prakse • Kod određivanja relativne zrelosti prakse razlikujemo četiri stupnja zrelosti: • 1. stupanj zrelosti (L1): sadržaj pruža vodič za razmišljanje o temi za koju nema dokazanog ili široko prihvaćenog pristupa • 2. stupanj zrelosti (L2): sadržaj opisuje prakse koje su u ranoj "pilot" upotrebi i koje demonstriraju neke uspješne rezultate. • 3. stupanj zrelosti (L3): sadržaj opisuje prakse koje su u ograničenoj upotrebi u industriji ili vladinim organizacijama, možda za određeni sektor tržišta. • 4. stupanj zrelosti (L4): sadržaj opisuje prakse koje su uspješno razvijene i u širokoj su upotrebi. Ove se prakse mogu koristiti sa sigurnošću. • Kod određivanja tipova korisnika razabiremo tri klase korisnika E,M,L • E: za glavne i iskusnije menadžere • M: za projektne i srednje iskusne menadžere • L: za tehničke voditelje, inženjerske menadžere, menadžere iz "prve ruke" i nadzornike.

  10. Zaključak Kao softverski i sigurnosni profesionalci, nikada nećemo preći u vodstvo ukoliko budemo pristupali sigurnosti kao isključivo operacionom problemu. Napadači su kreativni, genijalni i jako motivirani financijskom dobiti. Oni već desetljećima proučavaju kako iskoristiti softver, nažalost se to ne može reći za softverske inženjere, a to se treba promijeniti.

More Related