Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.

Podobné prezentace


Prezentace na téma: "Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009."— Transkript prezentace:

1 Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009

2 Agenda  Motivace  Normy a projekty v rámci popisované oblasti  Bezpečný vývoj aplikací  Jak začít?  Case study  Diskuse přínosů

3 Motivace Aktuální stav bezpečnosti webových aplikací:  80% útoků směrovaných na webové aplikace  Twitter (letos 2 velké úspěšné útoky)  Facebook (značné množství úspěšných útoků)  Google hacking  obchodování s osobními údaji (cena již od 0.06$) Důvody  Business požadavky na nové funkcionality  Nové technologie  Bezpečnost v rámci vývojového cyklu aplikace: –nefunkcionální bezpečnostní požadavky –provedení penetračních testů po její implementaci

4 Bezpečný vývoj aplikací Normy a organizace podporující bezpečný vývoj aplikací:  ISO/IEC 27000 Series (27034 – Guidelines for application security)  Common Criteria (ISO/IEC 15048)  NIST –SP 800-64 - Security Considerations in the System Development Life Cycle –SP 800-53 - Recommended Security Controls for Federal Information Systems and Organizations  OWASP –Development Guide, Code Review Guide, Testing Guide –Legal Project –ASVS (Application Security Verification Standard) –CLASP (Comprehensive, Lightweight Application Security Process)  SANS, WASC,...

5 Bezpečný vývoj aplikací SDLC (Software Development Lifecycle)

6 SDLC - Initiation

7 SDLC - Development

8 SDLC - Implementation

9 SDLC – O & M

10 SDLC - Disposal

11 Jak začít?  Access Control  Awareness and Training  Audit and Accountability  Certification, Accreditation, and Security Assessments  Configuration Management  Contingency Planning  Identification and Authentication  Incident Response  Maintenance  Media Protection  Physical and Environmental Protection  Planning  Personnel Security  Risk Assessment  System and Services Acquisition  System and Communications Protection  System and Information Integrity  Zařazení bezpečnostního konzultanta na projekt již od fáze definice funkčních požadavků  Vypracování bezpečnostního standardu pro jednotlivé bezpečnostní kategorie aplikací v oblastech (např. NIST):  Vypracování metodik pro bezpečný vývoj (v případě in-house vývoje)

12 Case study Microsoft – Trustworthy Computing (SDL) Počty bezpečnostních buletinů s kritickou úrovní vydaných pro jednotlivé technologie před implementací bezpečnosti do SDL OS Windows 2k/2k3 MS SQL Server 2000 Exchange Server 2000

13 Diskuse přínosů + Zvýšení bezpečnosti aplikace Zvýšení důvěryhodnosti organizace Nižší TCO - Prodloužení vývoje Nutnost více spolupracovat s dodavatelem Vyšší náklady na vývoj

14 Děkuji za pozornost ? daniel.kefer@aec.cz daniel.kefer@cleverlance.com


Stáhnout ppt "Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009."

Podobné prezentace


Reklamy Google