Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilAnna marie Němcová
1
Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009
2
Agenda Motivace Normy a projekty v rámci popisované oblasti Bezpečný vývoj aplikací Jak začít? Case study Diskuse přínosů
3
Motivace Aktuální stav bezpečnosti webových aplikací: 80% útoků směrovaných na webové aplikace Twitter (letos 2 velké úspěšné útoky) Facebook (značné množství úspěšných útoků) Google hacking obchodování s osobními údaji (cena již od 0.06$) Důvody Business požadavky na nové funkcionality Nové technologie Bezpečnost v rámci vývojového cyklu aplikace: –nefunkcionální bezpečnostní požadavky –provedení penetračních testů po její implementaci
4
Bezpečný vývoj aplikací Normy a organizace podporující bezpečný vývoj aplikací: ISO/IEC 27000 Series (27034 – Guidelines for application security) Common Criteria (ISO/IEC 15048) NIST –SP 800-64 - Security Considerations in the System Development Life Cycle –SP 800-53 - Recommended Security Controls for Federal Information Systems and Organizations OWASP –Development Guide, Code Review Guide, Testing Guide –Legal Project –ASVS (Application Security Verification Standard) –CLASP (Comprehensive, Lightweight Application Security Process) SANS, WASC,...
5
Bezpečný vývoj aplikací SDLC (Software Development Lifecycle)
6
SDLC - Initiation
7
SDLC - Development
8
SDLC - Implementation
9
SDLC – O & M
10
SDLC - Disposal
11
Jak začít? Access Control Awareness and Training Audit and Accountability Certification, Accreditation, and Security Assessments Configuration Management Contingency Planning Identification and Authentication Incident Response Maintenance Media Protection Physical and Environmental Protection Planning Personnel Security Risk Assessment System and Services Acquisition System and Communications Protection System and Information Integrity Zařazení bezpečnostního konzultanta na projekt již od fáze definice funkčních požadavků Vypracování bezpečnostního standardu pro jednotlivé bezpečnostní kategorie aplikací v oblastech (např. NIST): Vypracování metodik pro bezpečný vývoj (v případě in-house vývoje)
12
Case study Microsoft – Trustworthy Computing (SDL) Počty bezpečnostních buletinů s kritickou úrovní vydaných pro jednotlivé technologie před implementací bezpečnosti do SDL OS Windows 2k/2k3 MS SQL Server 2000 Exchange Server 2000
13
Diskuse přínosů + Zvýšení bezpečnosti aplikace Zvýšení důvěryhodnosti organizace Nižší TCO - Prodloužení vývoje Nutnost více spolupracovat s dodavatelem Vyšší náklady na vývoj
14
Děkuji za pozornost ? daniel.kefer@aec.cz daniel.kefer@cleverlance.com
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.