Transcript Receptuur voor Veilige Software Ontwikkeling (pdf, 1,6 mb)

Titel
Voorkom
zwakheden
in de software………
en daarmee
75 % incidenten
Grip op
Secure Software
Development
De opdrachtgever aan het stuur
Marcel Koers / UWV
Rob van der Veer / SIG
Grip op Secure Software Development
1
Oorzaken onveilige software
• Beveiligingseisen zijn onduidelijk en niet op maat
– Opdrachtgever verwacht deskundigheid
– Leverancier verwacht precieze specificaties
• Er wordt niet of laat getoetst
• Opdrachtgever heeft te weinig risico-overzicht
• Bestaande standaarden bieden te weinig houvast
– Lange lijsten met technische en organisatorische
maatregelen
– Vooral toegesneden op het hoe, niet het wat
Grip op Secure Software Development
3
Eisen aan een methode
om te kunnen sturen
• Leveranciersonafhankelijk:
Geen eisen die ingrijpen op het HOE bij de leverancier
Inzetbaar bij meerdere verschillende leveranciers
• Toepasbaar bij verschillende ontwikkelmethodieken
• Meegeven beveiligingseisen is niet een verwijzing
naar een (ISO-)standaard:
Maak eisen op maat met een risicoanalyse
Grip op Secure Software Development
Maak de leveranciers duidelijk
dat je (steeds meer) gaat sturen
4
De methode:
In contact en in control komen
Standaard beveiligingseisen
Security
Architectuur
Blokken
Baseline
security
Classificatie
Systemen
Gegevens
Attack
patterns
De SSD-processen
Risicoanalyse
& PIA
Bijhouden risicomitigatie en risicoacceptatie
(Misuse & abuse)
Beveiligings-
Beveiligings-
eisen
testplan
Risico-
Contactmomenten
Initiatie
verandering
Code
review
Ontwerp
Software
ontwikkeling
Testen
en toetsen
Testen
acceptatie
Pentesten
Acceptatie
Implementatie
Het voortbrengingsproces
Grip op Secure Software Development
5
De methode: Governance
Organisatorische
inrichting SSD
SSD-processen:
volwassen ingevuld
Business Impact
Analyse
Onderhoud
standaard
beveiligingseisen
Sturen op maturity
Standaard beveiligingseisen
Security
Architectuur
Blokken
Baseline
security
Grip op Secure Software Development
Classificatie
• Systemen
• Gegevens
Attack
patterns
6
Een succesvolle invoering van
de methode Grip op SSD
Comply or explain
Begin met een minimum baseline…. en start met het
dashboard.
Stel de beveiligingsrisicoanalyse verplicht voor
alle IV-projecten
PIA
WBP
Baselines en risicoanalyses maken is een vak:
Organiseer kennis
CIP netwerk
Nog niet
Doe aan verwachtingsmanagement:
Zet CMM als roadmap in.
Zet de methode om in een implementatieplan
Grip op Secure Software Development
Zorg voor
een
opdrachtgever
Zorg voor commitment
7
Grip op SSD is een open methode
We hebben een gemeenschappelijk belang:
Dezelfde leveranciers:
• Gebruik van dezelfde normen:
• Zelfde manier van aansturen:
Grip op SSD SIVA beveiligingsnormen
Grip op SSD methode
Deel je inzicht met de SSD werkgroep of
wordt lid van het CIP-netwerk.
Contact:
[email protected]
020-6879108
www.CIP-overheid.nl/downloads
Grip op Secure Software Development
8