security eisen externe partij
Nu ben ik zelf gaan zoeken op google of er al richtlijnen of best practices zijn voor requirements die wij stellen aan externe bedrijven alleen kan ik niet snel iets heel gericht vinden.
Zo weet ik dat de ISO 27001 een paar risico vragen stelt maar ben eigenlijk op zoek naar een best practice guide.
Dus zaken zoals:
- zorg er voor dat de code volgens de OWASP top 10 geprogrammeerd is (met duidelijke richtlijnen en voorbeelden hoe bepaalde zaken voorkomen kan worden door de zogenoemde prevention examples)
- zorg er voor dat vertrouwelijke informatie over een veilig medium wordt gecommuniceerd (denk aan FTP over SSL, SSH, PGP met duidelijke voorbeelden)
- Non-Disclosure Agreement clausule
- ?
Hebben jullie hier goede links of zelf informatie over?
En ja ik heb zelf al meerdere malen gezocht maar kom vaak uit op de questionnaire van de ISO 27001 en ik zoek wat meer hands on/best practice informatie.
Bvd!
Michiel
Dus risico's die toevallig net niet in de top 10 zijn, die zijn acceptabel, ook al kan dat betekenen dat de gebouwde applicatie zo lek als een zeef is ?
Ik ben geen OWASP specialist, maar ik neem aan dat er frameworks zijn met controls waaraan je moet voldoen om een veilige applicatie te bouwen.
Na het bouwen kan je door een ervaren web application auditor/pentester kijken of de applicatie voldoet aan de controls, of er zwakheden gevonden worden, en of er op basis van die bevindingen nog zaken verbeterd moeten worden.
Je doet er denk ik het beste aan om vaak, vroeg en veel te reviewen, zeker ook in de design fase als protocollen en informatie flows vastgelegd worden.
Als controleerbare eis zou je nog kunnen opnemen dat het resultaat 'schoon' door bv compiler warnings komt en door code analysing tools (coverity e.a.) .
Het zal vast wel mogelijk zijn om desondanks security en andere bugs over te houden, maar daarmee ben je al beter dan de meeste andere software.
Natuurlijk betekend het zo nadrukkelijk mee aan tafel zitten dat het uitbesteden van het ontwikkelwerk minder hands-off is dan verwacht, en dat het (vermeende) "we leggen alle problemen bij de leverancier" dan ook niet zo hard gespeeld kan worden als je intensief betrokken was bij de ontwikkeling.
maak ook duidelijke afspraken over:
- wanneer de code gereed is (op basis van produkt? gespendeerde tijd? duidelijke requirements? combi van voorgaande?)
- is een twee of volgende release (aantal bugs zijn verholpen) onderdeel van de prijs? of kost extra?
- wie eigenaar van de code is, tijdens produktie en na oplevering
- indien extern bedrijf (die de code ontwikkelt) failliet gaat, waar is de broncode dan opgeslagen/beschikbaar?
- indien extern bedrijf getroffen wordt door calamiteit (oorzaak kan zijn van fout eigen medewerker t/m natuurramp): wie ontwikkelt dan de code voor jullie? is code op alternatieve locatie (backup?) beschikbaar?
Dus risico's die toevallig net niet in de top 10 zijn, die zijn acceptabel, ook al kan dat betekenen dat de gebouwde applicatie zo lek als een zeef is ?
Ik ben geen OWASP specialist, maar ik neem aan dat er frameworks zijn met controls waaraan je moet voldoen om een veilige applicatie te bouwen.
Na het bouwen kan je door een ervaren web application auditor/pentester kijken of de applicatie voldoet aan de controls, of er zwakheden gevonden worden, en of er op basis van die bevindingen nog zaken verbeterd moeten worden.
Misschien moet je de OWASP lijst eerst even doornemen voordat je er iets over roept.
Als je mij reeele bekende programmeerfouten kan noemen die niet genoemd worden, dan hoor ik het graag :)
https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties.html
Thanks :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.