Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.

ZveřejnilAnna marie Němcová

Podobné prezentace

Prezentace na téma: "Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009."— Transkript prezentace:

1 Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009

2 Agenda  Motivace  Normy a projekty v rámci popisované oblasti  Bezpečný vývoj aplikací  Jak začít?  Case study  Diskuse přínosů

3 Motivace Aktuální stav bezpečnosti webových aplikací:  80% útoků směrovaných na webové aplikace  Twitter (letos 2 velké úspěšné útoky)  Facebook (značné množství úspěšných útoků)  Google hacking  obchodování s osobními údaji (cena již od 0.06$) Důvody  Business požadavky na nové funkcionality  Nové technologie  Bezpečnost v rámci vývojového cyklu aplikace: –nefunkcionální bezpečnostní požadavky –provedení penetračních testů po její implementaci

4 Bezpečný vývoj aplikací Normy a organizace podporující bezpečný vývoj aplikací:  ISO/IEC 27000 Series (27034 – Guidelines for application security)  Common Criteria (ISO/IEC 15048)  NIST –SP 800-64 - Security Considerations in the System Development Life Cycle –SP 800-53 - Recommended Security Controls for Federal Information Systems and Organizations  OWASP –Development Guide, Code Review Guide, Testing Guide –Legal Project –ASVS (Application Security Verification Standard) –CLASP (Comprehensive, Lightweight Application Security Process)  SANS, WASC,...

5 Bezpečný vývoj aplikací SDLC (Software Development Lifecycle)

6 SDLC - Initiation

7 SDLC - Development

8 SDLC - Implementation

9 SDLC – O & M

10 SDLC - Disposal

11 Jak začít?  Access Control  Awareness and Training  Audit and Accountability  Certification, Accreditation, and Security Assessments  Configuration Management  Contingency Planning  Identification and Authentication  Incident Response  Maintenance  Media Protection  Physical and Environmental Protection  Planning  Personnel Security  Risk Assessment  System and Services Acquisition  System and Communications Protection  System and Information Integrity  Zařazení bezpečnostního konzultanta na projekt již od fáze definice funkčních požadavků  Vypracování bezpečnostního standardu pro jednotlivé bezpečnostní kategorie aplikací v oblastech (např. NIST):  Vypracování metodik pro bezpečný vývoj (v případě in-house vývoje)

12 Case study Microsoft – Trustworthy Computing (SDL) Počty bezpečnostních buletinů s kritickou úrovní vydaných pro jednotlivé technologie před implementací bezpečnosti do SDL OS Windows 2k/2k3 MS SQL Server 2000 Exchange Server 2000

13 Diskuse přínosů + Zvýšení bezpečnosti aplikace Zvýšení důvěryhodnosti organizace Nižší TCO - Prodloužení vývoje Nutnost více spolupracovat s dodavatelem Vyšší náklady na vývoj

14 Děkuji za pozornost ? daniel.kefer@aec.cz daniel.kefer@cleverlance.com

Stáhnout ppt "Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009."

Podobné prezentace

Software Development Conference 2007 Vztah dodavatele a odběratele Zdeněk Borůvka.

Software Development Conference 2007 Vztah dodavatele a odběratele Zdeněk Borůvka.
20. května 2009 Prague Gate, Praha – Chodov II. konference Českého institutu manažerů informační bezpečnosti.

20. května 2009 Prague Gate, Praha – Chodov II. konference Českého institutu manažerů informační bezpečnosti.
AJAX fenomén současného internetu Dalibor Kačmář Academic Developer Evangelist Microsoft ČR host Vítek Karas Senior Software Development Engineer Microsoft.

AJAX fenomén současného internetu Dalibor Kačmář Academic Developer Evangelist Microsoft ČR host Vítek Karas Senior Software Development Engineer Microsoft.
Autoři: Jan Makovec Jana Vichrová Tomáš Zika Univerzita Hradec Králové Fakulta informatiky a managementu 2009/2010.

Autoři: Jan Makovec Jana Vichrová Tomáš Zika Univerzita Hradec Králové Fakulta informatiky a managementu 2009/2010.
Konference Bezpečnost v podmínkách organizací a institucí ČR

Konference "Bezpečnost v podmínkách organizací a institucí ČR"
Podnikové informační systémy Úvod

Podnikové informační systémy Úvod
Generální ředitelství cel Projekt ECR brána případová studie

Generální ředitelství cel Projekt ECR brána případová studie
Informační systémy a technologie

Informační systémy a technologie
Microsoft a partneři Partnerský program, Systém partnerské spolupráce

Microsoft a partneři Partnerský program, Systém partnerské spolupráce
METODOLOGIE PROJEKTOVÁNÍ

METODOLOGIE PROJEKTOVÁNÍ
Open Web Application Security Project (OWASP)

Open Web Application Security Project (OWASP)
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc +420 723 064 701 Microsoft, s.r.o. Solution.

Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Environmentální značení produktů. ENVIRONMENTÁLNÍ ZNAČENÍ PRODUKTŮ Ing. Marie Tichá 10. listopadu 2011 Kurz Manažer udržitelné spotřeby a výroby v rámci.

Environmentální značení produktů. ENVIRONMENTÁLNÍ ZNAČENÍ PRODUKTŮ Ing. Marie Tichá 10. listopadu 2011 Kurz Manažer udržitelné spotřeby a výroby v rámci.
Oblast nástrojů Prostředí Popis produktů Kritéria Vyhodnocení.

Oblast nástrojů Prostředí Popis produktů Kritéria Vyhodnocení.
GORDIC ® + CA = vaše cesta ke zvýšení kvality a efektivity služeb DRMS FORUM 2011 9. 11. 2010 Ing. Jakub Fiala vedoucí týmu CA Technologies programátor,

GORDIC ® + CA = vaše cesta ke zvýšení kvality a efektivity služeb DRMS FORUM Ing. Jakub Fiala vedoucí týmu CA Technologies programátor,
Efektivní informační bezpečnost

Efektivní informační bezpečnost
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.

ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Management kontinuity činností organizace

Management kontinuity činností organizace
Aukro.cz – projektový management v e-commerce Tereza Kabrdová.

Aukro.cz – projektový management v e-commerce Tereza Kabrdová.

Podobné prezentace

Reklamy Google