Application Security Management nach ISO 27034

Applikationssicherheit beginnt jedoch lange bevor auch nur eine Zeile Code geschrieben wurde - mit nachhaltigem Application Security Management. Wie ein Application Security Management aussehen kann, wird beispielhaft an den folgenden de facto Standards gezeigt:

Der 2004 veröffentlichte Security Development Lifecycle (SDL) von Microsoft bietet einen vollständigen Prozess-Leitfaden für die Entwicklung sicherer Software. Unterteilt in die 7 Phasen Training, Requirements, Design, Implementation, Verification, Release und Response deckt er die gesamte Softwareentwicklung mit entsprechenden Sicherheitsaktivitäten ab und reduziert die Anzahl sicherheitsrelevanter Fehler im fertigen Produkt erheblich. Einen anderen Ansatz verfolgt die ISO 27034 (Information technology – Security techniques – Application security) Norm der International Organization for Standardization. Die Norm ist eine sogenannte „High Level Structure“ und gibt keine konkreten Maßnahmen zur Entwicklung sicherer Applikationen vor. Sie liefert vielmehr ein vollständiges Framework mit dem Unternehmen, unter Einbezug aller relevanten Faktoren, eigene Schutzmaßnahmen für die Entwicklung und den Betrieb von Applikationen definieren, betreiben und kontinuierlich verbessern können.

Folgende inhaltliche Schwerpunkte behandelt der Workshop:

Application Security Management

Microsoft SDL

ISO 27034

Mapping des SDL auf ISO 27034

Integration in unternehmenseigenen SDLC (mit Beispielen der Teilnehmer)

Application Security Management Übungen

Organization Normative Framework

Application Normative Framework

Application Security Controls