Software Security Policies, Procedures and Standards

Richten Sie die Sicherheitsleiste für Anwendungen ein.

Nächste Schritte:

Übersicht

Den Erfahrungen von Foundstone zufolge werden die meisten Sicherheitsschäden dadurch verursacht, dass Entwickler und andere am Software-Entwicklungslebenszyklus beteiligte Personen nicht darüber informiert wurden, was sie tun dürfen und was nicht. Am besten lässt sich das anhand der Verwendung von Richtlinien und Prozessen verdeutlichen. Einfach nur das eine zu haben und das andere nicht, macht das Ziel sicherer Anwendungen jedoch noch schwerer erreichbar. Da Unternehmen die Sicherheitsbelange in den Software-Entwicklungslebenszyklus integrieren, müssen Sie auch den Entwicklern deren Aufgaben genau vorgeben.

Wichtige Vorteile

Mithilfe geeigneter Richtlinien, Verfahren und Normen kann ein Unternehmen eine Sicherheitsleiste einrichten, die alle Anwendungen einhalten müssen. Damit können Unternehmensanalysten Sicherheitsanforderungen definieren, Software-Entwickler können diese Normen berücksichtigen, Tester können Verstöße untersuchen und Bereitstellungs- und Wartungstechniker können eine kontinuierliche Compliance mit den Sicherheitsrichtlinien gewährleisten.

Methode

Foundstone nähert sich der Durchsetzung dieser Normen, indem zuerst festgelegt wird, welche dieser Normen relevant für das Unternehmen sind. Foundstone-Berater arbeiten dann mit Ihrem Team zusammen, um einen Entwurf zur inhaltlichen Prüfung vorzulegen. Danach passt Foundstone Inhalt und Layout gemäß Ihren Unternehmensnormen an. Und schließlich liefert Foundstone der fertige Produkt in einem oder mehreren Dokumenten.

Im Lieferumfang sind einige oder alle der folgenden Elemente enthalten:

  • Richtlinie zur Entwicklung sicherer Anwendungen
  • Normen zur sicheren Codierung
  • Normen zur Entwicklung sicherer Anwendungen
  • Methode zur Erstellung von Anwendungsbedrohungsmodellen
  • Methode zur Prüfung des Anwendungssicherheitscodes
  • Methode zur Qualitätssicherung der Anwendungssicherheit
  • Methode zur Risikobewertung des Anwendungsportfolios
  • Methode zum Aufbau der Sicherheitsanforderungen
  • Entwicklung eines Prozesses für das Management von Sicherheitskenntnissen
  • Entwicklung eines Prozesses zur Tool-Integration