Software Security Policies, Procedures and Standards

Définition du niveau de sécurité des applications

Etapes suivantes :

Présentation

L'expérience a montré à Foundstone que la plupart des failles de sécurité sont à mettre au compte du manque de connaissances des développeurs et autres participants au cycle de développement des logiciels quant aux mesures de sécurité à respecter et aux erreurs à éviter. Pour éviter ces écueils, le meilleur moyen consiste à avoir recours aux stratégies et aux procédures. Malheureusement, sans les connaissances requises, les stratégies et les procédures à elles seules ne suffisent pas à créer des applications mieux sécurisées. Lorsque les entreprises intègrent la sécurité dans leur cycle de développement des logiciels, il est essentiel qu'elles fournissent au personnel responsable du développement les connaissances requises pour s'acquitter correctement de leurs tâches.

Principaux avantages

La mise en œuvre des stratégies, procédures et normes appropriées permet à une entreprise d'établir un niveau de sécurité que toutes les applications doivent respecter. De la sorte, les analystes peuvent définir les impératifs de sécurité, les concepteurs et les développeurs peuvent respecter ces normes, les testeurs peuvent enquêter sur les violations de sécurité et les spécialistes du déploiement et de la maintenance peuvent assurer une conformité constante aux exigences et réglementations de conformité.

Méthodologie

Pour établir les normes à mettre en œuvre, Foundstone commence par déterminer les standards pertinents pour l'entreprise. Les consultants Foundstone collaborent ensuite avec votre équipe afin d'élaborer une première ébauche d'examen du contenu. Ensuite, Foundstone personnalise le contenu et la structure afin de respecter vos normes d'entreprise. Enfin, Foundstone livre le produit fini sous la forme d'un document ou d'une série de documents.

Au terme de la mission, vous recevez une partie ou l'ensemble des documents suivants :

  • Secure Application Development Policy (stratégie de développement d'applications sécurisées)
  • Secure Coding Standards (Normes de programmation sécurisée)
  • Secure Application Deployment Standards (Normes de déploiement des applications sécurisées)
  • Application Threat Modeling Methodology (Méthodologie de modélisation des menaces d'application)
  • Application Security Code Review Methodology (Méthodologie d'examen du code pour la sécurité des applications)
  • Application Security Quality Assurance Methodology (Méthodologie de contrôle qualité pour la sécurité des applications)
  • Application Portfolio Risk Assessment Methodology (Méthodologie d'évaluation des risques du portefeuille d'applications)
  • Security Requirements Engineering Methodology (Méthodologie d'ingénierie des exigences de sécurité)
  • Security Knowledge Management Process Development (Développement des processus de gestion des connaissances sur la sécurité)
  • Tool Integration Process Development (Développement des processus d'intégration d'outils)