Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.

Slides:



Advertisements
Podobné prezentace
Software Development Conference 2007 Vztah dodavatele a odběratele Zdeněk Borůvka.
Advertisements

20. května 2009 Prague Gate, Praha – Chodov II. konference Českého institutu manažerů informační bezpečnosti.
AJAX fenomén současného internetu Dalibor Kačmář Academic Developer Evangelist Microsoft ČR host Vítek Karas Senior Software Development Engineer Microsoft.
Autoři: Jan Makovec Jana Vichrová Tomáš Zika Univerzita Hradec Králové Fakulta informatiky a managementu 2009/2010.
Konference "Bezpečnost v podmínkách organizací a institucí ČR"
Podnikové informační systémy Úvod
Generální ředitelství cel Projekt ECR brána případová studie
Informační systémy a technologie
Microsoft a partneři Partnerský program, Systém partnerské spolupráce
METODOLOGIE PROJEKTOVÁNÍ
Open Web Application Security Project (OWASP)
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Environmentální značení produktů. ENVIRONMENTÁLNÍ ZNAČENÍ PRODUKTŮ Ing. Marie Tichá 10. listopadu 2011 Kurz Manažer udržitelné spotřeby a výroby v rámci.
Oblast nástrojů Prostředí Popis produktů Kritéria Vyhodnocení.
GORDIC ® + CA = vaše cesta ke zvýšení kvality a efektivity služeb DRMS FORUM Ing. Jakub Fiala vedoucí týmu CA Technologies programátor,
Efektivní informační bezpečnost
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Management kontinuity činností organizace
Aukro.cz – projektový management v e-commerce Tereza Kabrdová.
Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Cloud Computing - efektivní a transparentní provoz organizace pro každého (Jakub Fiala, Miroslav Čejka GORDIC ® )
ISMS v KSRZIS (Koordinační středisko pro rezortní zdravotnické informační systémy) František Henkl.
Zkušenosti se zaváděním systému řízení v KSRZIS podle:
Vývoj mobilních aplikací
JIRA školení.
Obchodní spolupráce pro vývojářské společnosti Veronika Macáková ISV Partner Account Manager
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
Daniel Kardoš Ing. Daniel Kardoš
1 Hodnocení informační bezpečnosti Požadavek vyjádření míry bezpečnosti informačního systému nebo jeho IT složek Kritéria hodnocení bezpečnosti –Obecné.
BIS Legislativa Roman Danel VŠB – TU Ostrava.
Pojmové vymezení. Proč pojmové vymezení? Spousta firem deklaruje svou projektovou orientaci Ve skutečnosti pouze používají několik metodik pro podporu.
Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.
Zásady řešení informační bezpečnosti
Jak využít Office 365? Několik scénářů. | Copyright© 2010 Microsoft Corporation.
Microsoft Office Project 2007 Představení aplikace.
Computer Help …vše, co jste kdy chtěli vědět o počítačích, ale báli jste se zeptat…
Telefónica O 2 Business Solutions Platform as a Service – Overview Praha, Ing. Jan Kepič, CISA –
Web 2.0, folksonomie a uživatelská rozhraní Lenka Němečková Eliška Pavlásková Založeno mimo jiné na prezentacích prof. B. Whitea „The Promise of Rich User.
Tomáš Sýkora GOPAS, a.s. Úskalí e-learningu Tomáš Sýkora GOPAS, a.s.
Security and Protection of Information Conference IDET 2001 © 2001 RISK ANALYSIS CONSULTANTSSPECIALISTÉ NA BEZPEČNOST INFORMACÍ ISO 17799: standard třetího.
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Příležitost pro partnery s Windows 7 Lukáš Křovák Produktový manažer divize Windows
Normalizace v oblasti environmentálního managementu
Úvod do klasických a moderních metod šifrování ALG082
SBS 2008, EBS 2008 Radim Petratur Microsoft Č R. Řešení pro každou firmu Midsize BusinessSmall Business CorporateEnterpriseHome
Partnerská konference Solution Partners Clarion Congress Hotel Prague 1. října 2009.
SERVICESSERVER CLIENT Operating System Relational Database Application ServicesSystems Management Developer Tools Programming Model Applications.
CATE 2001 – Brno, 9. května 2001 Bezpečnost a ochrana informací Pavel Věchet, IBM Česká republika, spol. s r.o.
Trustworthy Computing Michael Juřek Software Architect Microsoft ČR.
Na cestě k ASP Jiří Voříšek VŠE - KIT publikováno: červen 2002.
Nástroje pro řízení projektů. Kriteria členění Desktopová aplikace SaS (Software as Service) aplikace.
Manufacturing Execution Systems
Studentská PARDUBICE Implementace MIIS na Univerzitě Pardubice Petr Švec, Univerzita Pardubice.
SPICE Mezinárodní standard ISO/IEC Václav Hapla FEI VŠB-TUO.
Kompatibilita aplikací Portál Microsoft Platform Ready Ondřej Štrba Štěpán Bechynský.
Implementace systému. Prvotní představa Doba trvání 6 měsíců 8 školitelů (500 Kč/hod) Skupina testařů CELKEM Kč.
Aktuální bezpečnostní výzvy … a jak na ně ….. v praxi Dalibor Lukeš Platform and Security Manager Microsoft Czech and Slovak Michal Pechan Production Stream.
Nové trendy v eGovernment
Lukáš Patka PFE. Microsoft Security Risk Assessment Identifikovat bezpečnostní rizika napříč IT infrastrukturou, aplikacemi, provozními procesy Zaměřen.
Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha
Zabezpečení cloud prostředí
4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016
AdHoc s.r.o., Ivan Petrův, Managing Director
Lesk a bída normalizace
Web Application Scanning
Windows Server 2003 Service Pack 1 z pohledu bezpečnosti
Simple IoT platform.
Transkript prezentace:

Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009

Agenda  Motivace  Normy a projekty v rámci popisované oblasti  Bezpečný vývoj aplikací  Jak začít?  Case study  Diskuse přínosů

Motivace Aktuální stav bezpečnosti webových aplikací:  80% útoků směrovaných na webové aplikace  Twitter (letos 2 velké úspěšné útoky)  Facebook (značné množství úspěšných útoků)  Google hacking  obchodování s osobními údaji (cena již od 0.06$) Důvody  Business požadavky na nové funkcionality  Nové technologie  Bezpečnost v rámci vývojového cyklu aplikace: –nefunkcionální bezpečnostní požadavky –provedení penetračních testů po její implementaci

Bezpečný vývoj aplikací Normy a organizace podporující bezpečný vývoj aplikací:  ISO/IEC Series (27034 – Guidelines for application security)  Common Criteria (ISO/IEC 15048)  NIST –SP Security Considerations in the System Development Life Cycle –SP Recommended Security Controls for Federal Information Systems and Organizations  OWASP –Development Guide, Code Review Guide, Testing Guide –Legal Project –ASVS (Application Security Verification Standard) –CLASP (Comprehensive, Lightweight Application Security Process)  SANS, WASC,...

Bezpečný vývoj aplikací SDLC (Software Development Lifecycle)

SDLC - Initiation

SDLC - Development

SDLC - Implementation

SDLC – O & M

SDLC - Disposal

Jak začít?  Access Control  Awareness and Training  Audit and Accountability  Certification, Accreditation, and Security Assessments  Configuration Management  Contingency Planning  Identification and Authentication  Incident Response  Maintenance  Media Protection  Physical and Environmental Protection  Planning  Personnel Security  Risk Assessment  System and Services Acquisition  System and Communications Protection  System and Information Integrity  Zařazení bezpečnostního konzultanta na projekt již od fáze definice funkčních požadavků  Vypracování bezpečnostního standardu pro jednotlivé bezpečnostní kategorie aplikací v oblastech (např. NIST):  Vypracování metodik pro bezpečný vývoj (v případě in-house vývoje)

Case study Microsoft – Trustworthy Computing (SDL) Počty bezpečnostních buletinů s kritickou úrovní vydaných pro jednotlivé technologie před implementací bezpečnosti do SDL OS Windows 2k/2k3 MS SQL Server 2000 Exchange Server 2000

Diskuse přínosů + Zvýšení bezpečnosti aplikace Zvýšení důvěryhodnosti organizace Nižší TCO - Prodloužení vývoje Nutnost více spolupracovat s dodavatelem Vyšší náklady na vývoj

Děkuji za pozornost ?

Kontaktní formulář: Ochrana osobních údajů Kontaktní formulář
O projektu: SlidePlayer Podmínky použití

© 2024 SlidePlayer.cz Inc. All rights reserved.