1 / 14

Bezpe čnostní požadavky pro výběr a implementaci webové aplikace

Bezpe čnostní požadavky pro výběr a implementaci webové aplikace. Daniel Kefer II. konference ČIMIB 20. května 2009. Agenda. Motivace Normy a projekty v rámci popisované oblasti Bezpečný vývoj aplikací Jak začít? Case study Diskuse přínosů.

nickan
Download Presentation

Bezpe čnostní požadavky pro výběr a implementaci webové aplikace

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009

  2. Agenda • Motivace • Normy a projekty v rámci popisované oblasti • Bezpečný vývoj aplikací • Jak začít? • Case study • Diskuse přínosů

  3. Motivace Aktuální stav bezpečnosti webových aplikací: • 80% útoků směrovaných na webové aplikace • Twitter (letos 2 velké úspěšné útoky) • Facebook (značné množství úspěšných útoků) • Google hacking • obchodování s osobními údaji (cena již od 0.06$) Důvody • Business požadavky na nové funkcionality • Nové technologie • Bezpečnost v rámci vývojového cyklu aplikace: • nefunkcionální bezpečnostní požadavky • provedení penetračních testů po její implementaci

  4. Bezpečný vývoj aplikací Normy a organizace podporující bezpečný vývoj aplikací: • ISO/IEC 27000 Series (27034 – Guidelinesforapplicationsecurity) • CommonCriteria (ISO/IEC 15048) • NIST • SP 800-64 - Security Considerations in the System Development Life Cycle • SP 800-53 - Recommended Security Controls for Federal Information Systems and Organizations • OWASP • DevelopmentGuide, CodeReviewGuide, TestingGuide • Legal Project • ASVS (ApplicationSecurityVerification Standard) • CLASP (Comprehensive, Lightweight Application Security Process) • SANS, WASC, ...

  5. Bezpečný vývoj aplikací SDLC (Software Development Lifecycle)

  6. SDLC - Initiation

  7. SDLC - Development

  8. SDLC - Implementation

  9. SDLC – O & M

  10. SDLC - Disposal

  11. Jak začít? • Zařazení bezpečnostního konzultanta na projekt již od fáze definice funkčních požadavků • Vypracování bezpečnostního standardu pro jednotlivé bezpečnostní kategorie aplikací v oblastech (např. NIST): • Access Control • Awareness and Training • Audit and Accountability • Certification, Accreditation, and Security Assessments • Configuration Management • Contingency Planning • Identification and Authentication • Incident Response • Maintenance • Media Protection • Physical and Environmental Protection • Planning • Personnel Security • Risk Assessment • System and Services Acquisition • System and Communications Protection • System and Information Integrity • Vypracování metodik pro bezpečný vývoj (v případě in-house vývoje)

  12. Case study Microsoft – Trustworthy Computing (SDL) Počty bezpečnostních buletinů s kritickou úrovní vydaných pro jednotlivé technologie před implementací bezpečnosti do SDL OS Windows 2k/2k3 MS SQL Server 2000 Exchange Server 2000

  13. Diskuse přínosů

  14. Děkuji za pozornost ? daniel.kefer@aec.cz daniel.kefer@cleverlance.com

More Related