Download
sveu ili te u splitu sveu ili ni odjel za stru ne studije n.
Skip this Video
Loading SlideShow in 5 Seconds..
Sveučilište u Splitu Sveučilišni odjel za stručne studije PowerPoint Presentation
Download Presentation
Sveučilište u Splitu Sveučilišni odjel za stručne studije

Sveučilište u Splitu Sveučilišni odjel za stručne studije

134 Vues Download Presentation
Télécharger la présentation

Sveučilište u Splitu Sveučilišni odjel za stručne studije

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Sveučilište u SplituSveučilišni odjel za stručne studije Upravljanje rizicima Sigurnosni softverski inženjering Joško Smolčić Sandra Antunović Terzić Split, 05.2012

  2. Sadržaj • Sigurnosni softverski inženjering • Cilj sigurnosnog softverskog inženjeringa • Zrelost i relevantnost iskustva • Zaključak

  3. Sigurnosni softverski inženjering • Softver je sveprisutan. • Mnogi proizvodi, usluge i procesi koje organizacije koriste su često jako ovisni o softveru a pritom se radi s osjetljivim i visokovrijednim podacima o kojima ovise privatnost, i egzistencija ljudi. • Ranjivost softvera može ugroziti intelektualno vlasništvo, povjerenje potrošača, poslovne operacije i usluge.

  4. Sigurnosni softverski inženjering Nacionalna sigurnost počiva na krajnje složenim, međusobno povezanim softverskim informacijskim sistemima koji u mnogim slučajevima koriste internet ili internetu izložene privatne mreže kao sredstvo komunikacije ili prenošenja podataka.

  5. Sigurnosni softverski inženjering • Prema istraživanju 169 najvećih globalnih financijskih institucija, postojeće zaštite softvera nisu više adekvatne – sigurnost softvera je problem broj jedan za IT službe. • Nedostatak sigurnosne discipline u današnjim praksama softverskog razvoja često rezultira razvojem softvera sa iskoristivim slabostima. • U mnogim slučajevima, kada se odluka svede na "dostavi odmah" ili "poradi na sigurnosti i dostavi kasnije", trenutna dostava je gotovo uvijek izbor onih koji kontroliraju novac.

  6. Cilj sigurnosnog softverskog inženjeringa • Cilj softverskog sigurnosnog inženjeringa je izgraditi bolje, savršenije softvere bez nedostataka • Softver koji se razvija i sastavlja poštujući pravila o sigurnosti softvera trebao bi imati značajno manji broj iskoristivih nedostataka. • Softverski sigurnosni inženjering je korištenje iskustva, procesa, alata i tehnika za rješavanje problema u svakoj fazi životnog ciklusa izrade softvera.

  7. Cilj sigurnosnog softverskog inženjeringa Softverski intenzivni sistemi koji su osmišljeni uz korištenje sigurnijih softvera su bolji jer: • Nastavljaju pravilno raditi u prisustvu većine napada bilo pružajući otpor iskorištavanju nedostataka samog softvera bilo tolerirajući kvarove koje su rezultat takvih iskorištavanja. • Ograničavaju štetu nastalu zbog kvarova nastalih zbog napada kojima se softver nije mogao oduprijeti ili toleriraju i brzo se oporavljaju od tih kvarova.

  8. Zrelost i relevantnost prakse • Uočeno je kako su neka softverska sigurnosna iskustva u široj upotrebi i time više testirana i zrelija nego druga kao npr. praksa sigurnosnog kodiranja i testiranja povredljivosti. • Prilikom odabira određene prakse kojom ćemo se služiti u poboljšavanju sigurnosti aplikacija koristimo dva praktična načina: • Određivanje relativne zrelosti prakse. • Određivanje tipova korisnika.

  9. Zrelost i relevantnost prakse • Kod određivanja relativne zrelosti prakse razlikujemo četiri stupnja zrelosti: • 1. stupanj zrelosti (L1): sadržaj pruža vodič za razmišljanje o temi za koju nema dokazanog ili široko prihvaćenog pristupa • 2. stupanj zrelosti (L2): sadržaj opisuje prakse koje su u ranoj "pilot" upotrebi i koje demonstriraju neke uspješne rezultate. • 3. stupanj zrelosti (L3): sadržaj opisuje prakse koje su u ograničenoj upotrebi u industriji ili vladinim organizacijama, možda za određeni sektor tržišta. • 4. stupanj zrelosti (L4): sadržaj opisuje prakse koje su uspješno razvijene i u širokoj su upotrebi. Ove se prakse mogu koristiti sa sigurnošću. • Kod određivanja tipova korisnika razabiremo tri klase korisnika E,M,L • E: za glavne i iskusnije menadžere • M: za projektne i srednje iskusne menadžere • L: za tehničke voditelje, inženjerske menadžere, menadžere iz "prve ruke" i nadzornike.

  10. Zaključak Kao softverski i sigurnosni profesionalci, nikada nećemo preći u vodstvo ukoliko budemo pristupali sigurnosti kao isključivo operacionom problemu. Napadači su kreativni, genijalni i jako motivirani financijskom dobiti. Oni već desetljećima proučavaju kako iskoristiti softver, nažalost se to ne može reći za softverske inženjere, a to se treba promijeniti.