Framework Secure Software Secure software in de strijd tegen cybercrime

Vergelijkbare documenten
FORUM STANDAARDISATIE

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Project methodiek. Auxilium BV Oude Delft CD Delft. T: F: E:

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Regie op persoonsgegevens. Ron Boscu Directeur

FS E. FORUM STANDAARDISATIE 13 december Advies. Agendapunt: 3E Betreft: Intake-advies voor Grip op SSD Aan:

Digiveiligheid en kwalificaties. Fred van Noord (PvIB, VKA) Marcel Spruit (HHS, PBLQ/HEC)

ISEO Consult. voorbeelden uitgevoerde projecten

Informatiebeveiliging gemeenten

Kwalificatie en certificatie van informatiebeveiligers

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

Rechtenvrije muziek. Bestaat niet. De maker van de muziek heeft de morele rechten hiervan.

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

voorzitter NOREA Adri de Bruijn NIVRA-NOREA-aanpak privacy-certificering privacy-audit

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Is er een standaard oplossing voor Cyber Security?

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Databeveiliging en Hosting Asperion

Security Starts With Awareness

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

APMG-International Webinar. ITIL Editie 2011 Wednesday 16 Mei 2012 / 15:30 CET Presented by Karel Höster

Reproductierechten. Publicatierechten

EXIN WORKFORCE READINESS opleider

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Partnering Trust in online services AVG. Vertrouwen in de keten

Ethical hacking en Auditing. ISACA Round table. 11 juni 2018 Van der Valk Hotel - Eindhoven

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Readiness Assessment ISMS

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014

Door Niko Visser. Bewijsmomenten met waarborgen voor zekerstelling met ISO 27001

Seriously Seeking Security

Toelatingsassessment. Portfolio. Assessment t.b.v. toelating tot de deeltijdopleiding HBO-ICT. Naam Adres Telefoon Datum

Verantwoordingsrichtlijn

Training en workshops

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

Security Awareness Sessie FITZME, tbv de coaches

Spion op je Pad. Een Serious Boardgame over Informatiebeveiliging voor gemeenten. M. de Blaeij (Ministerie van Economische Zaken) en de IBD

EXIN WORKFORCE READINESS werkgever

Factsheet SECURITY SCANNING Managed Services

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

weer wat nieuws KEMA KEMA Reden van verandering KLANT- & PRESTATIEGERICHT! Oude norm was onvoldoende KEMA Quality B.V.

Het Sebyde aanbod. Secure By Design

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Pilot Kwaliteitgestuurde Plantenketen

Welke standaard is het beste? 4 december 2008, Bianca Scholten, bianca.scholten@task24.nl, tel

Van Bragt Informatiemanagement

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Code of Conduct CSR certificering

Informatiebeveiligingsbeleid

Zest Application Professionals Training &Workshops

MKB Cloudpartner Informatie TPM & ISAE

Jaap van Oord, FourTOP ICT

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

enterprise; development; operations; CA Technologies; DevOps; management; agility; software delivery life cycle; SDLC; CA

Presentatie DNV GL. Veiligheidskundigen. David Scheele SAFER, SMARTER, GREENER

Code voor Informatiekwaliteit

Open Specificaties Formaat

Compliance and Control

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

Brochure SABSA Foundation

Van Riskmanagement naar Computervalidatie. Hanny Nelis

ALERT project; Cyber security en de menselijke factor

Hartelijk welkom! DNV GL 2016 SAFER, SMARTER, GREENER

5-daagse bootcamp IT Risk Management & Assurance

Informatiebeveiliging voor gemeenten: een helder stappenplan

Partnercertificering Be Informed 2013

Brochure ISO Advanced

Handleiding uitvoering ICT-beveiligingsassessment

EXIN WORKFORCE READINESS professional

Cyber Security: hoe verder?

TestNet Voorjaarsevenement 2010 Jurian van de Laar 12 mei 2010

RAZENDSNEL VAN IT STARTER TOT CYBER SECURITY SPECIALIST?

Transparantie = Key!

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

Curriculum Vitae Ishak Atak. Naam : Ishak Atak Roepnaam : Ishak. Woonplaats : Utrecht Geboorte datum :

Werkprogramma Proces Zelfbeoordeling KBA

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Paphos Group Risk & Security Mobile App Security Testing

Curriculum Vitae

Continuous testing in DevOps met Test Automation

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

Bedrijfscontinuïteit met behulp van een BCMS

Agenda. Wat kost het MIS Waarom JorSoft. Over JorSoft. Diensten Het MIS. Vervolgstappen IT infrastructuur

Toespraak minister Hirsch Ballin bij oprichting Platform Internetveiligheid op 8 december Dames en heren,

Perspekt jaarplan 2014

Veilig samenwerken met de supply-chain

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

EEN VAN ONZE EXPERTS. For every situation, there is a suitable line from a song

Professionele softwareontwikkeling PRODUCTIVITEIT EN KWALITEIT MET FOCUS OP DE GEHELE LEVENSDUUR VAN APPLICATIES

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Transcriptie:

Framework Secure Software Secure software in de strijd tegen cybercrime Woensdag 8 oktober 2014 Postillion Hotel Utrecht Bunnik Fred Hendriks (directeur a.i. Secure Software Foundation) Tim Hemel (CTO icomply)

Waarom een framework en certificaat Secure Software? Digitale agenda Brussel & Den Haag : veilige hard- en software If 50% of vulnerabilities are removed before software goes into the production environment, enterprise management and incident response costs are reduced by 75%. Gartner

Waarom een framework en certificaat Secure Software? Veilige software: een must Informatiebeveiliging bij softwareontwikkeling staat in de kinderschoenen en wordt in de praktijk reactief ingericht Ontwikkelde software wordt veelal pas na oplevering getest op eventuele lekken en zwakheden, waardoor het aspect beveiliging achteraf pas aandacht krijgt

Waarom een framework en certificaat Secure Software? Veilige software: aantoonbaar? Tot op heden is er geen alles omvattend meetbare norm / certificaat voor ontwikkeling en toetsing van veilige software beschikbaar Een Framework Secure Software & Secure Software Certificate zal veiligheidsincidenten aanzienlijk verminderen door objectief meetbare controle toe te voegen

Planning & ontwikkeling Ontwikkeltraject Oktober 2012: vastlegging concept Normenkader Secure Software & way to market (Initiatiefnemers: Security Academy & icomply) November 2012 jan. 2013: toetsingsfase (ca. 25 organisaties; start samenwerking met Ministerie van Economische Zaken) Februari 2013: kick-off meeting met alle betrokkenen Maart mei 2013: technisch-inhoudelijke toetsing door diverse kennispartijen

Planning & ontwikkeling Ontwikkeltraject Juni 2013: annoncering bèta versie; toekenning bijdrage Min. van Economische Zaken (via ECP, programma Digivaardig/Digiveilig) September 2013: Start pilot trajecten Januari-april 2014: vastleggen Release 1 Framework Secure Software op basis van pilottrajecten

Planning & ontwikkeling Ontwikkeltraject 27 Mei 2014: Annoncering Framework Secure Software Oprichting Secure Software Foundation in aanwezigheid van: Ministerie van Economische Zaken Nationaal Cyber Security Centrum Cyber Security Raad NOREA Pilot organisaties Security Academy icomply EXIN

Framework Secure Software Doelstelling Framework Secure Software Openbare methodologie voor veilig ontwikkelen van software tijdens alle fases van het ontwikkelproces Secure Software Certificate (veiligheid code / applicatie)

Secure Software Foundation Doelstelling Secure Software Foundation Bewaken en bevorderen van een uniforme toepassing van het Framework Secure Software Bewaken van de kwaliteitsregeling m.b.t. het benoemen van audit partijen en auditors Aansluiten bij internationale initiatieven en volgen van internationale ontwikkelingen op het gebied van veilige software Bevorderen van veilige software ontwikkeling in het algemeen

Secure Software Foundation Secure Software Foundation: Stand van zaken SSF is live () Framework nu gratis te downloaden ( > 400 x ) Consulting-, training- en audit partijen kunnen aanhaken Afnemers / gebruikers van software kunnen zich oriënteren Eerste certificeringen gepland eind 2014 Normcommissie / bestuur geïnstalleerd

Secure Software Foundation Licentie van het Framework Creative Commons Naamsvermelding- GeenAfgeleideWerken 4.0 Internationaal Vrij te verspreiden Commercieel gebruik is toegestaan Naamsvermelding bij verspreiding Geen afgeleide werken

Secure Software Foundation: next steps Eisen aan auditpartijen/auditors Aantoonbare meerjarige ervaring in software engineering en software security Ervaring met audit processen (bijvoorbeeld CISA, RE etc.) Registered Secure Software Auditor (RSSA) Verdere invulling door de SSF

Secure Software Foundation: next steps Secure Software Foundation: vervolg SSF moet op eigen benen gaan staan SSF moet gedegen structuur krijgen SSF moet streven naar draagvlak

Secure Software Foundation: next steps Oproep aan marktpartijen Softwareontwikkel-organisaties Consulting partijen (advies secure software op weg naar certificering) Audit partijen (audits en pre-audits) Training partijen

Secure Software Foundation: next steps Doel Nederland in the lead bij Secure Software (development) & verificatie Oproep Aan alle belanghebbenden (overheid, politiek, bedrijfsleven, onderwijs, overige organisaties) om bij te dragen aan veilige software

Secure Software Foundation: next steps Secure Software a must! Europese overheden moeten regelgeving maken om softwareontwikkelaars te dwingen de beveiliging van software te verbeteren. Ontwikkelaars zullen dit namelijk niet uit zichzelf doen. Dit stelt Troels Oerting, hoofd van de cybercrime-afdeling bij Europol. Oerting is van mening dat de beveiliging van software alleen kan verbeteren als tijdens het ontwikkelproces al wordt nagedacht over security. Oerting is daarom van mening dat de samenleving van softwaremakers moet eisen dat zij meer aandacht besteden aan beveiliging. De overheid kan hierbij helpen, door bijvoorbeeld een keurmerk op te zetten waarmee de veiligheid van software wordt gegarandeerd. (Bron: infosecurity 10 okt. 2013, interview tweakers)

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback