Owasp parte2

923 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
923
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Owasp parte2

  1. 1. Sviluppo sicuro di Applicazioni WEB
  2. 2. Mi Presento…. <ul><li>Claudio Di Giovanni </li></ul><ul><li>Ingegnere Informatico </li></ul><ul><li>Modelli di Ottimizzazione dei Sistemi Produttivi </li></ul><ul><li>CTO Solving Team / Responsabile del Bid Office </li></ul><ul><li>Mi occupo di Sviluppo SW su piattaforma JAVA-J2EE da circa 10 anni. </li></ul><ul><li>Passione per i Design Patterns. </li></ul>
  3. 3. Compliance OWASP con altre metodologie OSSTMM
  4. 4. Compliance OWASP con altre metodologie OSSTMM COBIT ISO 27001 OWASP
  5. 5. OWASP e l ’ OSSTMM <ul><li>Cos ’ è l ’ OSSTMM ? </li></ul><ul><li>Open Source Security Testing Methodology Manual. </li></ul><ul><li>Uno standard internazionale per i test e le analisi di sicurezza. </li></ul><ul><li>Una metodologia basata su metodi scientifici. </li></ul><ul><li>Un mezzo per misurare la sicurezza operativa oggettivamente (e persino finanziariamente!). </li></ul><ul><li>Un mezzo per ridurre in modo sostanziale i falsi positivi ed i falsi negativi. </li></ul><ul><li>Un processo concreto per essere funzionali e realmente sicuri. </li></ul>
  6. 6. OWASP e l ’ OSSTMM <ul><li>OSSTMM, quale progetto principale di ISECOM, è utilzzato da: </li></ul><ul><ul><li>Dipartimento del Tesoro americano </li></ul></ul><ul><ul><li>Ambiente finanziario su scala internazionale </li></ul></ul><ul><ul><li>U.S. Navy e Air Force </li></ul></ul><ul><li>OSSTMM è una metodologia per verificare in modo esteso qualunque aspetto della sicurezza, dai presidi di sicurezza fisica alle comunicazioni. </li></ul><ul><li>Una delle sezioni di OWASP riguarda il testing delle webapp </li></ul>
  7. 7. Compliance OWASP con COBIT <ul><li>Il Control Objectives for Information and related Technology (COBIT) è un modello (framework) per la gestione della ICT creato nel 1992 da </li></ul><ul><li>Information Systems Audit and Control Association – ISACA </li></ul><ul><li>COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da: </li></ul><ul><li>una struttura dei processi della funzione IT, rispetto alla quale si è venuto formando il consenso degli esperti del settore; </li></ul><ul><li>una serie di strumenti teorici e pratici collegati ai processi, </li></ul><ul><li>con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo. </li></ul>
  8. 8. Compliance OWASP con COBIT
  9. 9. Compliance OWASP con COBIT DS5: Process Description Control over the IT process of  that satisfies the business requirement for IT of  by focusing on  is achieved by ••• and is measured by • ’ ••
  10. 10. Compliance OWASP con COBIT DS5: CONTROL OBJECTIVES DS5.1 Management of IT Security Manage IT security at the highest appropriate organisational level, so the management of security actions is in line with business requirements. DS5.2 IT Security Plan [..] DS5.3 Identity Management [..] DS5.4 User Account Management [..] DS5.5 Security Testing,Surveillance and Monitoring [..] DS5.6 Security Incident Definition Clearly define and communicate the characteristics of potential security incidents so they can be properly classified and treated by the incident and problem management process. DS5.7 Protection of Security Technology Make security-related technology resistant to tampering, and do not disclose security documentation unnecessarily.
  11. 11. Compliance OWASP con COBIT DS5: CONTROL OBJECTIVES DS5.8 Cryptographic Key Management Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution, certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure. DS5.9 Malicious Software Prevention,Detection and Correction Put preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the organisation to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam). DS5.10 Network Security [..] DS5.11 Exchange of Sensitive Data [..]
  12. 12. Compliance OWASP con COBIT Gli obiettivi possono essere raggiunti in una varietà di modi che possono essere diversi per ogni organizzazione. Se si cerca di implementare COBIT, OWASP è una eccellente partenza per calcolare i rischi di sviluppo dei sistemi e per assicurare che le applicazioni personalizzate e sviluppate ad hoc rispettano i controlli COBIT, ma OWASP non è la bacchetta magica per la compliance con COBIT Per maggiori informazioni circa il COBIT il link è http://www.isaca.org/
  13. 13. OWASP E GLI ALTRI STANDARD DI SICUREZZA ISO 27001 è il documento normativo di riferimento per l ’ azienda che intenda certificare il proprio ISMS. Fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione. ISO 17799 – ISO 27002 prescrive la conservazione e la difesa delle risorse informative di un'impresa. Dettaglia centinaia di controlli che devono essere applicati per la gestione sicura delle informazioni e degli asset.
  14. 14. La prima parte della Norma (BS7799-1 Code of practice for information security management) contiene gli elementi di base (raccomandazioni, requisiti e linee guida) per implementare e gestire correttamente l ’ ISMS. La seconda parte (BS7799-2 Specification for Information Security Management Systems) specifica ed identifica gli elementi necessari per il conseguimento della Certificazione dell ’ ISMS aziendale. Contiene, inoltre, la descrizione delle attività necessarie per implementare il processo di ISMS e l ’ elenco dei controlli, degli obiettivi di sicurezza e delle contromisure da adottare. OWASP E GLI ALTRI STANDARD DI SICUREZZA (BS 7799)
  15. 15. L'ISO 17799 (alias ISO 27002) è organizzato in 11 aree di controllo (più un ’ area introduttiva sul risk assesment) che specificano nel dettaglio i 133 controlli (organizzati in 39 categorie principali, il cui numero è indicato tra parentesi) dell ’ annex A alla ISO 27001: OWASP E GLI ALTRI STANDARD DI SICUREZZA (ISO 17799 – ISO 27002)
  16. 16. ISO 17799 – ISO 27002: INPUT DATA VALIDATION
  17. 17. Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti per impostare, implementare, utilizzare, monitorare, rivedere, manutenere e migliorare un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (ISMS). Dettaglia inoltre i requisiti per l ’ implementazione di controlli di sicurezza personalizzati in base alle necessità (l ’ ISO 17799 fornisce una guida implementativa utilizzabile nella progettazione dei controlli). OWASP E ISO 27001
  18. 18. Compliance OWASP con ISO 27001 L ’ Allegato A della norma: è diviso nelle 11 aree di controllo riportate a lato. Ognuna di esse è a sua volta divisa in obiettivi di controllo e controlli (133). Questi ultimi sono contromisure più o meno generiche che si possono adottare per ridurre il rischio individuato attraverso il Risk Assessment. Es. A.12.2.1 Validazione dei dati in Input Controllo: I dati in input devono essere validati per garantire che siano corretti ed appropriati. ISO/IEC 27001:2005 5) Security Policy; 6) Organizing Information Security; 7) Asset Management ; 8) Human Resources Security; 9) Physical and Environmental Security; 10) Communications and Operations Management; 11) Access Control; 12) Information Systems Acquisition, Development and Maintenance; 13) Information Security Incident Management; 14) Business Continuity Management; 15) Compliance .
  19. 19. Compliance OWASP con SP-800*
  20. 20. Domande? Grazie per l ’ attenzione Claudio Di Giovanni [email_address]

×