2. Otoczenie prawno-organizacyjne
• GDS (Government Digital Services)
• GOV.UK, Government Gateway, IDA, PSN
• Akty prawne, standardy, rekomendacje, interpretacje
• CESG (Communications-Electronics Security Group)
• GPG 43 – Requirements of Secure Delivery of Online Public Services
• GPG dotyczące uwierzytelniania, zarządzania tożsamością itd.
• Zarządzanie bezpieczeństwem oparte na ocenie ryzyka
• Podejście IDA(BC) Authentication Policy
• G-Cloud (IaaS, PaaS, SaaS, SCS, 1200 dostawców, 80% MŚP)
• ISO 27001, Cyber Essentials
• Obowiązkowa akredytacja systemów
• Szeroki zakres, podejście procesowe
3. Przygotowanie projektu
• Analiza potrzeb klienta
• Analizy ryzyka, metody uwierzytelniania, poziomy zabezpieczeń, klasyfikacja
danych
• Architektura aplikacji
• Logiczna separacja danych, metody uwierzytelniania
• Szkolenia dla architektów i programistów
• Przygotowane pod kątem konkretnej platformy
5. Testy bezpieczeństwa
• Testy bezpieczeństwa
• Wewnętrzne, zewnętrzne (CREST)
• Definicja zakresu testu (OWASP Top 10, OWASP ASVS, patrz też https://goo.gl/JgXgyn)
• Ręczne, automatyczne (skany podatności)
• BurpSuite
• Współpraca z działem bezpieczeństwa klienta
• Ocena ryzyka podatności, zwłaszcza z testów zewnętrznych
• Planowanie działań naprawczych
6. Agile
• Współpraca przy tworzeniu “user stories”
• Specjalne “user stories” związane z bezpieczeńtwem
• Testowanie ręczne co najmniej w każdym sprincie
• Continuous Integration
• OWASP ZAProxy, w3af, Dependency Check, Retire.js, Seccubus, GAUNTLT
• PMD, Yasca, Brakeman, OWASP Lapse+, FindBugs