Grip op Secure Software Development

Transcriptie

1 Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1

2 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG Normen DG Aware ness DG Ketens Subcommunity Publiek-Private Samenwerking DG Privacy Cyber Security Platform

3 Overheidsparticipanten en -relaties 3

4 Overheidsparticipanten en -relaties 4

5 Voor niets gaat de zon op: Veilige software via een effectieve assurance tactiek

6 Eisen aan de methode Leveranciersonafhankelijk: Geen eisen die ingrijpen op het HOE bij de leverancier Inzetbaar bij meerdere verschillende leveranciers Toepasbaar bij verschillende ontwikkelmethodieken Meegeven beveiligingseisen is niet een verwijzing naar een (ISO-)standaard: Maak eisen op maat met een risicoanalyse Maak de leveranciers duidelijk dat je (steeds meer) gaat sturen Grip op Secure Software Development 6

7 De methode: In contact en in control komen Standaard beveiligingseisen Security Architectuur Blokken Baseline security Classificatie Systemen Gegevens Attack patterns De SSD-processen Risicoanalyse & PIA (Misuse & abuse) Bijhouden risicomitigatie en risicoacceptatie Risicoacceptatie Contactmomenten Beveiligingstestplan Code review Testen en toetsen Beveiligingseisen Pentesten Initiatie verandering Ontwerp Het voortbrengingsproces Software ontwikkeling Testen Acceptatie Implementatie Grip op Secure Software Development 7

8 De methode: Governance Organisatorische inrichting SSD SSD-processen: volwassen ingevuld Business Impact Analyse Onderhoud standaard beveiligingseisen Sturen op maturity Standaard beveiligingseisen Security Architectuur Blokken Baseline security Classificatie Systemen Gegevens Attack patterns Grip op Secure Software Development 8

9 Normen volgens SIVA methodiek Onderwerp werkwoord Criterium (wie en wat) Doelstelling (waarom) Risico x(wat)xxx werkwoord xxxx trefwoord xxxx audit-invalshoek Indicatoren trefwoord xxx xxx implementatieinvalshoek

10 Groeien naar volwassenheid gebruik dashboard dezelfde prestatie-indicatoren leveranciers afgestemde selectie baseline beveiligingseisen dezelfde tooling en prestatie-indicatoren leveranciers methodische aanpak voor onderlinge vergelijking standaard voor bedrijfskritische systemen steekproefsgewijs SSD-processen dezelfde tooling en prestatie-indicatoren leveranciers hogere voorspelbaarheid met kortcyclische processen 4. Vergroten bewustzijn: Campagneleider testset afgestemd op Voorbeeld de bedrijfs- publiceren en 1. Faciliteren security-architectuur testproces: Uitleg van de methode Uitleg van de baseline tegen bedrijfsbreed vastgestelde baseline beveiligingseisen pentest na externe melding beveiligingsdreiging onderdeel van het acceptatieproces periodiek voor bedrijfskritische systemen incidenteel voor bedrijfskritische systemen Security by design vergelijking indicatoren leveranciers 8. Rapportages op de afwijkingen (Rood/Groen) de applicatieeigenaar voorkomt kortcyclisch negatieve bevindingen 6. Formele acceptatie actieve monitoring 3. gedoogsituatie Applicatielijst: van de Prioriteren vervolgafspraken applicaties Inventarisatie hanteren baseline acceptatie mèt vervolgafspraken met applicatie-eigenaar formele processen 1 kopie baseline beveiligingseisen op ad-hoc basis op ad-hoc basis slechts na beveiligingsincidenten acceptatie zonder vervolgafspraken met applicatie-eigenaar 7. Meenemen context: BIA prestatie-indicatoren en IB risico-analyse voor versneld gebruik 5. Security-architectuur Feedback nieuwe leveranciers: eisen Eerst als bijlage op versie in lijn met de bedrijfs- 2. in de Afspraken: contracten. securityarchitectuur Uitleg methode aan de IM s Contract leveranciers CMMniveau Beveiligingseisen Code review Testen en toetsen Pentesten Risicoacceptatie Grip op Secure Software Development 10

11 Een succesvolle invoering van de methode Grip op SSD Comply or explain Begin met een minimum baseline. en start met het dashboard. Stel de beveiligingsrisicoanalyse verplicht voor alle IV-projecten WBP PIA Baselines en risicoanalyses maken is een vak: Organiseer kennis CIP netwerk Doe aan verwachtingsmanagement: Zet CMM als roadmap in. Nog niet Zet de methode niet om in een implementatieplan Zorg voor commitment Grip op Secure Software Development 11

12 Een vooruitblik SSD-methode verder versterkt met: Tips & Tricks Artikel in generieke beveiligingsovereenkomst Uitbreiden van de SSD normen (SIVA based) Start practitioners groep op 11 juni

13 Grip op SSD als open methode (Overheids)partijen hebben een gemeenschappelijk belang: Veelal dezelfde leveranciers: Zelfde manier van aansturen: Gebruik van dezelfde normen: Deel je inzicht met de SSD partitioners groep Contact: Grip op SSD methode Grip op SSD SIVA beveiligingsnormen Grip op Secure Software Development 13