Grip op Secure Software Development

Titel
Grip op
Secure Software
Development
De opdrachtgever aan het stuur
Marcel Koers
27 mei 2014
Grip op Secure Software Development
1
CIP: Netwerkorganisatie
Kennispartners
Participanten
Vaste kern
Subcommunity
Publiek-Private
Samenwerking
DG
Normen
DG
Privacy
DG
Aware
ness
DG
Ketens
Cyber
Security
Platform
Overheidsparticipanten en -relaties
3
Overheidsparticipanten en -relaties
4
Voor niets gaat de zon op:
Veilige software via een effectieve assurance tactiek
Eisen aan de methode
• Leveranciersonafhankelijk:
Geen eisen die ingrijpen op het HOE bij de leverancier
Inzetbaar bij meerdere verschillende leveranciers
• Toepasbaar bij verschillende ontwikkelmethodieken
• Meegeven beveiligingseisen is niet een verwijzing
naar een (ISO-)standaard:
Maak eisen op maat met een risicoanalyse
Grip op Secure Software Development
Maak de leveranciers duidelijk
dat je (steeds meer) gaat sturen
6
De methode:
In contact en in control komen
Standaard beveiligingseisen
Security
Architectuur
Blokken
Baseline
security
Classificatie
Systemen
Gegevens
Attack
patterns
De SSD-processen
Risicoanalyse
& PIA
Bijhouden risicomitigatie en risicoacceptatie
(Misuse & abuse)
Beveiligings-
Beveiligings-
eisen
testplan
Code
Contactmomenten
Initiatie
verandering
review
Ontwerp
Software
ontwikkeling
Risico-
Testen
en toetsen
acceptatie
Testen
Acceptatie
Pentesten
Implementatie
Het voortbrengingsproces
Grip op Secure Software Development
7
De methode: Governance
Organisatorische
inrichting SSD
SSD-processen:
volwassen ingevuld
Business Impact
Analyse
Onderhoud
standaard
beveiligingseisen
Sturen op maturity
Standaard beveiligingseisen
Security
Architectuur
Blokken
Baseline
security
Grip op Secure Software Development
Classificatie
• Systemen
• Gegevens
Attack
patterns
8
Normen volgens SIVA methodiek
Onderwerp – werkwoord
Criterium
x(wat)xxx werkwoord xxxx trefwoord xxxx
(wie en
wat)
Doelstelling
(waarom)
Risico
audit-invalshoek
Indicatoren trefwoord
xxx
xxx
implementatieinvalshoek
Groeien naar volwassenheid
SSD-processen
dezelfde tooling en
prestatie-indicatoren
leveranciers
dezelfde tooling en
prestatie-indicatoren
leveranciers
1
kopie baseline
beveiligingseisen
op ad-hoc basis
op ad-hoc basis
CMMniveau
Beveiligingseisen
Code review
Testen en toetsen
gebruik dashboard
5
Security
by design
vergelijking
pentest na externe
melding
beveiligingsdreiging
indicatoren
leveranciers
8. Rapportages
op de
7. Meenemen context:
afwijkingen
hogere
de applicatiemethodische aanpak
prestatie-indicatoren
• BIA
en IB risico-analyse
voorspelbaarheid met
onderdeel van het
eigenaar
voorkomt
(Rood/Groen)
voor versneld gebruik
voor onderlinge
kortcyclische
acceptatieproces
kortcyclisch
•5.Security-architectuur
nieuwe leveranciers:
eisen
vergelijking 4. Vergroten bewustzijn:
Feedback
processen
negatieve bevindingen
6. Formele acceptatie
•Eerst als bijlage op versie
•Campagneleider
in lijn met de bedrijfsstandaard voor
testset afgestemd op
periodiek voor gedoogsituatie
actieve monitoring
3. Applicatielijst:
in
de
contracten.
•Voorbeeld
publiceren
en
securitybedrijfskritische
de
bedrijfsen
bedrijfskritische
van de
2. Afspraken:
architectuur
systemen 1. Faciliteren
security-architectuur
vervolgafspraken
testproces: systemen•Prioriteren
applicaties
•Uitleg methode aan de
•Uitleg van de methode
•Inventarisatie hanteren
IM’safgestemde selectie
tegen bedrijfsbreed
incidenteel voor
acceptatie mèt
•Uitleg
van de baseline
baseline
baseline
steekproefsgewijs
vastgestelde
baseline
bedrijfskritische
vervolgafspraken met
•Contract
leveranciers
beveiligingseisen
beveiligingseisen
systemen
applicatie-eigenaar
4
3
2
Grip op Secure Software Development
acceptatie zonder
slechts na
vervolgafspraken met
beveiligingsincidenten
applicatie-eigenaar
Pentesten
Risicoacceptatie
10
formele processen
dezelfde
prestatie-indicatoren
leveranciers
Een succesvolle invoering van
de methode Grip op SSD
Comply or explain
Begin met een minimum baseline…. en start met het
dashboard.
Stel de beveiligingsrisicoanalyse verplicht voor
alle IV-projecten
WBP
PIA
Baselines en risicoanalyses maken is een vak:
Organiseer kennis
CIP netwerk
Nog niet
Doe aan verwachtingsmanagement:
Zet CMM als roadmap in.
Zet de methode niet om in een implementatieplan
Grip op Secure Software Development
Zorg voor commitment
11
Een vooruitblik
• SSD-methode verder versterkt met:
– Tips & Tricks
– Artikel in generieke beveiligingsovereenkomst
• Uitbreiden van de SSD normen (SIVA based)
• Start practitioners groep op 11 juni
Grip op SSD als open methode
(Overheids)partijen hebben een gemeenschappelijk belang:
Veelal dezelfde leveranciers:
• Zelfde manier van aansturen:
• Gebruik van dezelfde normen:
Grip op SSD methode
Grip op SSD SIVA beveiligingsnormen
Deel je inzicht met de SSD partitioners groep
Contact:
[email protected]
020-6879108
www.CIP-overheid.nl/downloads
Grip op Secure Software Development
13

Download Report