Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Transcriptie

1 Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Veilige software door marktbrede samenwerking Ad Reuijl Sogeti 23 juni 2015

2 CIP: Centrum voor Informatiebeveiliging en Privacybescherming Aanleiding voor de overheid: Toenemende afhankelijkheid van het internet, mobile devices,ed. Toenemende (organisatiegraad van) cyber crime De overheid organiseert zich en CIP faciliteert dit door: Werken aan gezamenlijke afspraken en normatiek Aanbieden/toegankelijk maken van kennis en practices Het bouwen aan een IB-community in de overheid 2

3 Kennispnr Agentschap Gemeentelijk Relatie ZBO Ministerieel Zorg Stichting Wetenschappelijk Brancheorg Provinciaal Staatsrechtelijk Water Financieel Energie Samenstelling van het CIP-Netwerk Totaal 1047 personen naar functie Semioverheid 4% Verdeling personen publiek-privaat Professional Overheid 73% Markt: 23% Bestuur Directie Manager Onbekend Uit totaal: 250 organisaties Totaal

4 De PDC in Context CIP-activiteiten en producten Weerbaarheid Herstelvermogen Bevorderen SAMEN DOEN Product Aanbod Practitioners Communities voor SSD BIR KSL Cursus en Teasertrainingen SSD SSD-producten, KSL, div. handreikingen, PIA-paper, beveiligingsovereenkomst, e-learningmodules, CIP-Casts, etc Snelle bereikbaarheid in CIP- Netwerk. Verbinding met NCSC in NENSYS Onderlinge hulp via CIP-pleio Geen CIP-producten Basiswerkvormen Kennisdeling 5 Domeingroepen, Kennissessies, Conferenties Cip.pleio.nl Cyber Security Platform ISAC, Werkgroep SOC 4

5 Oorzaken onveilige software Beveiligingseisen zijn onduidelijk en niet op maat Opdrachtgever verwacht deskundigheid Leverancier verwacht precieze specificaties Er wordt niet of laat getest Opdrachtgever heeft te weinig risico-overzicht Bestaande standaarden bieden te weinig houvast Lange lijsten met technische en organisatorische maatregelen Vooral toegesneden op het hoe, niet het wat

6 Uitgangspunten in opzet Grip op SSD Geeft de opdrachtgever handvat om te sturen op de veiligheid van software Leveranciersonafhankelijk: Geen eisen die ingrijpen op het HOE bij de leverancier Inzetbaar bij meerdere verschillende interne of externe leveranciers Toepasbaar bij alle ontwikkelmethodieken (waterval, agile) of wel of niet via een scrum aanpak én incrementals Aanpak geschikt voor maatwerk, COTS èn cloud. Een andere wijze van controle en sturing leidt tot een proactieve houding bij opdrachtgever en leverancier. Meegeven beveiligingseisen is niet meer een verwijzing naar een (ISO-)standaarden: Maak eisen op maat met een risicoanalyse /-acceptatie Opdrachtgever moet zelf verantwoordelijkheid nemen voor informatieveiligheid Grip op Secure Software Development 6

7 SSD: De normen Comply or explain Gebaseerd op: Risico s voor de bedrijfsvoering Bestaande normenkaders Duidelijkheid over: wie moet wat doen Maakt governance mogelijk: Normen beperkt in omvang Hanteerbaar als auditnorm (SIVA) Eenvoudig uitbreidbaar: Practitionersgroep

8 SSD: Relatie met andere normenkaders en Frameworks Domein Opdrachtgever: de WAT-vraag Stuur op Samenwerking SSD Het Proces Stuur op Producteisen SSD De Normen Stuur op Samenwerking Stuur op Compliancy SSD-normen Voor specifieke uitwerking van de techniek: ASVS SSF Code standaards Eigen richtlijnen Domein Opdrachtnemer: de HOE-vraag

9 SSD: De normen Beveiligingseisen voor applicaties SSD-2: Gebruik van veilige cookies of apps SSD-3: Beveiliging van mobile code SSD-4: Sessie versleuteling SSD-5: Vaststellen identiteit van een externe gebruiker SSD-6: Vaststellen identiteit van een interne gebruiker SSD-7: Functiescheiding SSD-8: Least Privilege SSD-9: Registreren van Unsuccessful Login Attempts SSD-10: Concurrent Session Control SSD-11: System Use Notification SSD-12A: Session lock SSD-12B: Session termination SSD-13: Onweerlegbaarheid SSD-14: Borgen van Sessie Authenticiteit SSD-15: Scheiding van Presentatie, Applicatie en Gegevens SSD-16: Netwerkzonering SSD-17: Beheerinterface SSD-18: HTTP validatie SSD-19: Invoer normalisatie SSD-20: Codering van dynamische onderdelen SSD-21: Geparametriseerde queries SSD-22: Invoervalidatie SSD-23: File includes SSD-24: Beperking van te versturen HTTP-headers SSD-25: Beperken van te tonen HTTP-header informatie SSD-26: HTTP-methoden SSD-27: Error handling SSD-28: Commentaar(regels SSD-29: Directory listing SSD-30: Applicatie logging SSD-31: Standaard stack

10 SSD: De normen Specificatiewijze

11 SSD: De Practitioners Community Leren van elkaars implementatie-ervaringen Stimuleren tot implementatie bij opdrachtgever (overheid) Stimuleren marktpartijen om SSD in aanbod te verwerken Evolutie van SSD o.b.v. inputs uit het veld 70 mensen van 45 organisaties (publiek en privaat) zijn lid.

12 SSD: Manifestpartijen Expliciete support is mogelijk d.m.v. onderschrijven SSD- Manifest Organisaties die onderschrijven: Ad Reuijl Sogeti 23 juni 2015

13 Voorbrengingsketen UWV De omvang Aantal releases: ca. 100 per jaar 10-tal IM s, 400 medewerkers Interne delivery org. 9 IS 8 5 BSU s, 500 medewerkers Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier Leverancier (extern /intern) Software Bouw TSC 120 medewerkers TSC Functionele Acceptatie Test 70 leveranciers, waarvan 6 grote softwareleveranciers

14 Voorbrengingsketen UWV De contactmomenten Security risicomanagement Penetratietesten SSD Interne delivery org. Beoordeling SSD bevindingen IS Rapportage verantwoording SSD normen 9 8 Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse Gebruikers Acceptatie test BSU Functioneel Ontwerp 1 2 Aansturing 3 Leverancier 7 4 Leverancier (extern /intern) Software Bouw Contractuele verplichting SSD eisen 5 6 SSD rapportage leverancier TSC Functionele Acceptatie Test TSC/SSD test en Toetsing rapportage leverancier

15 Voorbrengingsketen UWV De implementatie 7 Interne delivery org. IS Bedrijfsvoering UWV 10 IM Scopafijt Business Analyse 8. Stel prioriteiten obv risico en dashboard 9: Begroot SSD mee in releases (+ 5%) 8. BSU Functioneel Ontwerp 1 Gebruikers 2 Aansturing 3 Acceptatie Leverancier test 5: Toets o-metingen 6. Neem resultaten op in dashboard. 7. Test elke nieuwe release en actualiseer dashboard TSC Functionele Acceptatie Test 10. Neem SSD-eisen mee als non-functionals in opdracht aan leverancier 4 Leverancier (extern /intern) Software Bouw 11. Lever releases op en zorg dat de geraakte code SSD-compliants is. 1: In gesprek met leveranciers over hoe we gaan sturen. 2. Doorspreken methode en normen SSD. 3. Afspreken 0-metingen 4. Afspraak: nieuwe va jan 2014 compliant aan SSD

16 SSD: ambitie voor toekomst Hét instrument voor samenwerking tussen opdrachtgever-opdrachtnemer bij informatieveilige software ontwikkeling en onderhoud in de overheid. Hogere volwassenheidniveau s van softwareveiligheid bereiken. Door toepassing van SSD als standaard binnen de overheid efficiencyvoordelen bereiken voor auditors, interne- en externe leveranciers en aansturende organisaties. Olievlekgewijze uitbreiding van de implementatie. Nu al op weg bij UWV, Cibg, Postnl, ICTU, DICTU. Voornemens bij CAK, SVB, DUO, Logius. Continuous Improvement door verankering in CIP en i.h.b. de Practitioners Community: nieuwe thema s en leerervaringen verrijken de methode en het normenkader.

17 SSD: ambitie voor toekomst Het instrument voor samenwerking tussen opdrachtgever-opdrachtnemer bij software ontwikkeling en onderhoud in de overheid. Hogere volwassenheidsniveau s van softwareveiligheid bereiken Door toepassing van SSD als standaard binnen de overheid efficiency voordelen voor auditors, interne en externe leveranciers en aansturende organisaties. Review-toetsing TNO Olievlekgewijze uitbreiding van de implementatie. Nu al op weg bij UWV, Cibg, Postnl, ICTU, DICTU. Voornemens bij CAK, SVB, DUO, Logius Alles overziend komen we tot de conclusie dat dit document Continuous Improvement door verankering in CIP en i.k.b. de Practitioners Community: veel bruikbaarder nieuwe thema s is dan andere en leerervaringen normenkaders verrijken die we hebben de methode en gezien. Het gebruik van SIVA is daarvoor een belangrijke oorzaak. het normenkader. Grip op SSD, de beveiligingseisen is een voorbeeld dat voor andersoortige scopes navolging verdient. Groeien via en sturen op maturity van SSD is een prima aanpak om niet via een big bang, maar via een groeimodel te komen tot een volwassen SSD"

18 SSD: ambitie voor toekomst Het instrument voor samenwerking tussen opdrachtgever-opdrachtnemer bij software ontwikkeling en onderhoud in de overheid. We menen een goed start te hebben gemaakt: Action dus!! Hogere volwassenheidsniveau s van softwareveiligheid bereiken Door toepassing van SSD als standaard binnen de overheid efficiency voordelen voor auditors, interne en externe leveranciers en aansturende organisaties. Review-toetsing TNO Olievlekgewijze uitbreiding van de implementatie. Nu al op weg bij UWV, Cibg, Postnl, ICTU, DICTU. Voornemens bij CAK, SVB, DUO, Logius Alles overziend komen we tot de conclusie dat dit document Continuous Improvement door verankering in CIP en i.k.b. de Practitioners Community: veel bruikbaarder nieuwe thema s is dan andere en leerervaringen normenkaders verrijken die we hebben de methode en gezien. Het gebruik van SIVA is daarvoor een belangrijke oorzaak. het normenkader. Grip op SSD, de beveiligingseisen is een voorbeeld dat voor andersoortige scopes navolging verdient. Groeien via en sturen op maturity van SSD is een prima aanpak om niet via een big bang, maar via een groeimodel te komen tot een volwassen SSD"

19 Grip op SSD: een vraag Wilt u meehelpen het applicatielandschap in NL veiliger te maken? Sluit je aan bij de PraCo SSD, mail: ad.kint@uwv.nl Een greep uit de huidige samenstelling: Wij delen de kennis om tot veilige software te komen

20 Tot slot Softwareontwikkelaars: gebruik SSD om je opdrachtgever een spiegel voor te houden. Opdrachtgevers: neem het stuur in handen en gebruik SSD om dat te doen. Neem de tijd om te groeien in volwassenheid en begin klein. Downloads: SSD-Methode SSD-normen SSD-training AVAILABLE FOR FREE