CAST-Seminar: Application Security Management nach ISO 27034
Donnerstag, den 26.02.2015 von 10-17 Uhr im Fraunhofer SIT, Rheinstr. 75 in 64295 Darmstadt
(pressebox) Darmstadt, 04.02.2015 - Software wird zur Umsetzung von Geschäftsprozessen immer wichtiger. Anwendungen benötigen daher besonderen Schutz, denn immer mehr Angriffe laufen mittlerweile über die Anwendungsebene. Sicherheitslösungen für Netzwerk- und Systemsicherheit greifen hier zu kurz, wirksamer Schutz muss in der Anwendung umgesetzt werden. Traditionell liegt der Fokus in der Softwareentwicklung auf der Funktion der Applikation. Auf Applikationssicherheit wird in vielen Fällen nur dann Wert gelegt, wenn sie zeitlich und personell ins Projekt passt, meist gegen Ende und unter Zeitdruck.
Applikationssicherheit beginnt jedoch lange bevor auch nur eine Zeile Code geschrieben wurde - mit nachhaltigem Application Security Management. Wie ein Application Security Management aussehen kann, wird beispielhaft an den folgenden de facto Standards gezeigt:
Der 2004 veröffentlichte Security Development Lifecycle (SDL) von Microsoft bietet einen vollständigen Prozess-Leitfaden für die Entwicklung sicherer Software. Unterteilt in die 7 Phasen Training, Requirements, Design, Implementation, Verification, Release und Response deckt er die gesamte Softwareentwicklung mit entsprechenden Sicherheitsaktivitäten ab und reduziert die Anzahl sicherheitsrelevanter Fehler im fertigen Produkt erheblich. Einen anderen Ansatz verfolgt die ISO 27034 (Information technology - Security techniques - Application security) Norm der International Organization for Standardization. Die Norm ist eine sogenannte "High Level Structure" und gibt keine konkreten Maßnahmen zur Entwicklung sicherer Applikationen vor. Sie liefert vielmehr ein vollständiges Framework mit dem Unternehmen, unter Einbezug aller relevanten Faktoren, eigene Schutzmaßnahmen für die Entwicklung und den Betrieb von Applikationen definieren, betreiben und kontinuierlich verbessern können.
Folgende inhaltliche Schwerpunkte behandelt der Workshop:
Application Security Management
Microsoft SDL
ISO 27034
Mapping des SDL auf ISO 27034
Integration in unternehmenseigenen SDLC (mit Beispielen der Teilnehmer)
Application Security Management Übungen
Organization Normative Framework
Application Normative Framework
Application Security Controls
Applikationssicherheit beginnt jedoch lange bevor auch nur eine Zeile Code geschrieben wurde - mit nachhaltigem Application Security Management. Wie ein Application Security Management aussehen kann, wird beispielhaft an den folgenden de facto Standards gezeigt:
Der 2004 veröffentlichte Security Development Lifecycle (SDL) von Microsoft bietet einen vollständigen Prozess-Leitfaden für die Entwicklung sicherer Software. Unterteilt in die 7 Phasen Training, Requirements, Design, Implementation, Verification, Release und Response deckt er die gesamte Softwareentwicklung mit entsprechenden Sicherheitsaktivitäten ab und reduziert die Anzahl sicherheitsrelevanter Fehler im fertigen Produkt erheblich. Einen anderen Ansatz verfolgt die ISO 27034 (Information technology - Security techniques - Application security) Norm der International Organization for Standardization. Die Norm ist eine sogenannte "High Level Structure" und gibt keine konkreten Maßnahmen zur Entwicklung sicherer Applikationen vor. Sie liefert vielmehr ein vollständiges Framework mit dem Unternehmen, unter Einbezug aller relevanten Faktoren, eigene Schutzmaßnahmen für die Entwicklung und den Betrieb von Applikationen definieren, betreiben und kontinuierlich verbessern können.
Folgende inhaltliche Schwerpunkte behandelt der Workshop:
Application Security Management
Microsoft SDL
ISO 27034
Mapping des SDL auf ISO 27034
Integration in unternehmenseigenen SDLC (mit Beispielen der Teilnehmer)
Application Security Management Übungen
Organization Normative Framework
Application Normative Framework
Application Security Controls
