lancering Framework Secure Software

Framework
Secure
Software
© iComply
Framework Secure Software
1
Aanleiding
In een maatschappij die steeds meer digitaliseert zal het belang
van aantoonbaar betrouwbare software steeds groter worden.
Maar juist daar ligt een probleem, want het is niet duidelijk wat
“betrouwbare” software nu precies is en hoe dit aangetoond kan
worden.
© iComply
Framework Secure Software
2
Aanleiding
Er is wel al heel veel geschreven over het inrichten van processen
die moeten borgen dat een ontwikkelorganisatie veilige software
oplevert:
• Secure Software Development Lifecycle
• Building Security In
En er is ook al heel veel geschreven over specifieke fouten in
software die kunnen leiden tot beveiligingsproblemen:
• OWASP Testing/Code Review Guide
• CERT Secure Coding Standards
• PHP Security Consortium
© iComply
Framework Secure Software
3
Aanleiding
Er zijn zelfs normen voorhanden
• ISO 15026 - Systems and software assurance
• ISO 15408 - Common Criteria for Information Technology Security
Evaluation
• ISO 25010 - System and software quality models
En er wordt gewerkt aan nieuwe normen
• ISO/IEC 27034 - Information technology - Security techniques –
Application security
© iComply
Framework Secure Software
4
Maar...
© iComply
Framework Secure Software
5
Aanleiding
• Een totstandkomingsproces geeft geen garantie op veilige
software
• Uiteindelijk gaat het om het opgeleverde product, niet om de
manier waarop het tot stand is gekomen
• Er is een gestructureerde aanpak nodig die met name naar de
software zelf kijkt en daar een objectief oordeel over kan vellen
• En juist daarover is nog niet veel beschikbaar
© iComply
Framework Secure Software
6
Het Framework
Secure Software
© iComply
Framework Secure Software
7
Doelstellingen
• Het primaire doel is de kwaliteit van programmatuur op het
gebied van beveiliging objectief meetbaar te maken door criteria
op te stellen aan de hand waarvan kan worden vastgesteld of er in
de code voldoende aandacht is besteed aan mogelijke
bedreigingen en de bijbehorende beveiligingsmaatregelen om tot
een passend niveau van veiligheid te komen
• Bovendien moet deze meting kunnen plaatsvinden onafhankelijk
van de gebruikte programmeertaal, het type applicatie of de
gebruikte ontwikkelmethodiek
• Ook dient het normenkader toepasbaar te zijn in alle fasen van de
levenscyclus van een applicatie
© iComply
Framework Secure Software
8
Doelstellingen
• Daarnaast dient het normenkader gebruikt te kunnen worden om
de kwaliteit op het gebied van beveiliging van zowel bestaande als
nieuwe software te kunnen beoordelen
• Ten slotte moet het mogelijk zijn het normenkader toe te passen
zonder daarvoor de hele werkwijze van de ontwikkelende
organisatie om te gooien
© iComply
Framework Secure Software
9
De methodiek
© iComply
Framework Secure Software
10
Methodiek
Er worden 4 fases in het ontwikkelproces onderscheiden
•
•
•
•
Context phase
Threats phase
Implementation phase
Verification phase
Per fase zijn controls gedefinieerd die ervoor zorgen dat de juiste
aandacht aan beveiligingsproblemen en -maatregelen wordt
gegeven
© iComply
Framework Secure Software
11
Methodiek
Consolidatie moet er voorzorgen dat goede resultaten niet eenmalig
worden behaald, maar het resultaat zijn van weloverwogen keuzes
gedurende het hele ontwikkelproces
• Controls voor het consolidatieproces
• Knowledge
• Responsibilies
• Processes
© iComply
Framework Secure Software
12
Voor wie?
© iComply
Framework Secure Software
13
Doelgroepen
• Opdrachtgevers
• Hebben behoefte aan een leidraad die ze helpt vooraf te bepalen aan
welke beveiligingseisen een voor hun te ontwikkelen softwarepakket
moet voldoen
• Ontwikkelaars
• Worden tijdens het programmeren geholpen als ze concreet weten
welke mitigaties ze dienen te verwerken in de broncode die ze
schrijven
© iComply
Framework Secure Software
14
Doelgroepen
• Auditors
• Dienen op een objectieve en reproduceerbare wijze te beoordelen of
broncode aan de benodigde beveiligingseisen voldoet en hebben
daarvoor dus een algemeen geaccepteerd overzicht van criteria nodig
aan de hand waarvan ze dat kunnen vaststellen
© iComply
Framework Secure Software
15
Schematische weergave
© iComply
Framework Secure Software
16
Vragen ...
© iComply
Framework Secure Software
17

Download Report