Standard sigurnosti web aplikacija

Teme:

Standards

7. juna 2010.

Na vrh

Svrha

Ovaj dokument pruža minimalne sigurnosne zahtjeve za web aplikacije koje su razvile, posjeduju ili kojima upravljaju državne agencije.

Na vrh

Pregled

Državne agencije koriste web aplikacije za pružanje usluga, prikupljanje i širenje informacija. Cyber ​​kriminalci sve više ciljaju web aplikacije kako bi ukrali povjerljive podatke i širili zlonamjerni softver. Državne agencije moraju osigurati da njihove web aplikacije ispunjavaju minimalni skup sigurnosnih zahtjeva.

Na vrh

Opseg

U svrhu ovog standarda, sigurnost se definira kao sposobnost zaštite povjerljivosti, integriteta i dostupnosti informacija koje agencije obrađuju, pohranjuju i prenose putem web aplikacija. Sredstva informacione tehnologije obuhvaćena ovom politikom uključuju ona koja obrađuju, pohranjuju, prenose ili prate digitalne informacije.

Ovaj standard se primjenjuje na sve agencije kako je definirano u Poglavlju 8A, Odjeljku 101 Zakona o Iowi.   Agencije koje ne učestvuju   su   ohrabrivao   do   slijediti   the   smjernice u   ovo i druga preduzeća   nivo   politike, standarde, smjernice, procese i procedure.

Na vrh

Definicije

Odabrano   uslovi   korišteno    the   Preduzeće   Web   Primjena   Sigurnost   Standardno   su   definirano u nastavku:

  • Primjena:    računar   program   ili   set   od   programi   to   susresti se   definirano   set   poslovnih potreba.
  • Dostupnost : Osiguravanje pravovremenog i pouzdanog pristupa informacijama i njihovog korištenja.
  • Povjerljivost: Očuvanje ovlaštenih ograničenja u pristupu informacijama i njihovom otkrivanju, uključujući sredstva za zaštitu lične privatnosti i vlasničkih informacija.
  • Razvoj:   Okolina   za   nepotpun   verzije   od   jedan   aplikacija;   početni   raspoređivanje za testiranje; i neformalno testiranje od strane projektnog tima.
  • Integritet  Čuvanje   protiv   neprimjeren   informacije   modifikacija   ili   uništenje i uključuje osiguranje neporecivosti i autentičnosti informacija.
  • Produkcija  Okolina   za   konačni   raspoređivanje   od   aplikacije   za   upotreba   od   namijenjenoj publici.
  • Test:   Okolina   za   priprema   za   proizvodnja   raspoređivanje.   Formalno   testiranje   uključujući funkcionalnost; performanse; skalabilnost; prihvatanje od strane korisnika i sigurnost.
  • Web   aplikacija  Jedan   vanjski   aplikacija   to   je   pristupljeno   putem   jedan   mreža   preglednik   preko   Internet.
Na vrh

Elementi

The   sljedeće   su   the   elementi   od   the   Preduzeće   Web   Primjena   Sigurnosni standard.

  1. Društvene mreže   Sigurnosni brojevi:
    1. Društvene mreže   Sigurnost   brojevi   hoće   ne biti   korišteno   kao   jedan   Korisnik   ID   ili   lozinka tokom   prijava   za web aplikacije.
    2. Društvene mreže   Sigurnost   brojevi   hoće   ne   biti   prikazano    pun   na   mreža   aplikacije   izvan   početni ekran za unos podataka
  2. Razvoj: Agencije koje se bave razvojem aplikacija moraju implementirati odvojena razvojna, testna i produkcijska okruženja za aplikacije koje razvijaju. Agencije koje se bave hostingom aplikacija moraju implementirati odvojena testna i produkcijska okruženja.
    1. Agencije   mora   ukloniti   test   podaci    računi   od   proizvodnja   sistemi   prije   ovi sistemi postaju aktivni.
  3. Produkcija   Podaci:   Koristi   od   povjerljiv   podaci    test   okruženja   zahtijeva   agencija   odobrenje uprave.
    1. Test   okruženja   koristeći   povjerljiv   podaci   hoće   susret   standardi   ekvivalent   do   proizvodni sistem.
  4. Ranjivosti kodiranja: Agencije trebaju razvijati web aplikacije zasnovane na smjernicama za sigurno kodiranje    eliminirati   uobičajeno   kodiranje   ranjivosti.    jedan   minimalno   agencije   mora   susret   trenutne smjernice Projekta sigurnosti otvorenih web aplikacija (OWASP) http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project kako bi se spriječilo:
    1. Injekcija   (SQL,   LDAP, itd.)
    2. Više stranica   Skriptiranje (XSS)
    3. Slomljeno   Autentifikacija    Upravljanje sesijama
    4. Nesiguran   Direktno   Reference objekata
    5. Križ   Stranica   Zahtjev za krivotvorenje
    6. Pogrešna konfiguracija sigurnosti
    7. Neuspjeh   do   Ograniči   Pristup URL-u
    8. Nevalidirano   Preusmjeravanja   i napadači
    9. Nesiguran   Kriptografsko skladištenje
    10. Nedovoljno   Prijevoz   Zaštita sloja

  5. Primjena   Testiranje  Agencije   hoće   pregled    test   mreža   aplikacije   za   sigurnost   ranjivosti korištenjem   Automatizirani alat za skeniranje web aplikacija. Pregled aplikacija   mora uključivati ​​izvor   analiza koda i vremena izvršavanja.

    1. Web   aplikacije   hoće   biti   skenirano   koristeći   sve   aplikacija   uloge   (npr.   korisnik   i administrator).

    2. Novo   mreža   aplikacije   mora   biti   skenirano   prije   ide   do proizvodnje.

    3. Postojeće   mreža   aplikacije   mora   biti   skenirano   godišnje    kad god   značajan   se vrše promjene u aplikaciji.
    4. Kritično/visoko   ranjivosti   identificiran   od   the   mreža   aplikacija   skeniranja   hoće   biti saniran.
    5. The   mreža   aplikacija   pregled   mora   biti   provedeno   od   neko   ostalo   nego   programer.
    6. The   Informacije   Sigurnost   Ured   hoće   održavati   jedan   lista   od   kriteriji   za odobreno   alati za skeniranje web aplikacija.
  6. Upravljanje promjenama : Agencije će implementirati proceduru upravljanja promjenama za implementaciju web aplikacija agencije. Podjela dužnosti će se implementirati kako bi se spriječilo da programeri objavljuju vlastite aplikacije u produkcijskom okruženju.
  1. Šifriranje  Web   aplikacije   sakupljanje   ili   prikazivanje   povjerljiv   podaci   mora   šifrirati   the   podaci u tranzitu.
    1. Podaci    tranzit   hoće   biti   zaštićen   sa   SSL   3.1/TLS   1.0,   ekvivalent ili   viši   metoda   šifriranja.
  2. Prijava   Baner  Web   aplikacije   koji   zahtijevati   jedan   prijava   hoće   imati   jedan   prijava   baner.   Baner će odobriti pravni savjetnik agencije i obavještava korisnike da:
    1. Korisnici   su   ulazak   jedan   Država   od   Sistem Iowe
    2. Pristup   je   ograničen   do   ovlašten   samo za upotrebu
    3. Korisnici   pristanak   za praćenje
  3. Pristup   Kontrola  Korisnik   autentifikacija   je   potrebno   za   sve   mreža   aplikacije   to   sakupljati,   prenose, prikazuju ili pohranjuju povjerljive podatke ili tamo gdje se integritet podataka mora održati. Potrebne kontrole pristupa uključuju:
    1. Korisnik   ID:   Svaki   korisnik   mora   imati   jedan   jedinstven   korisnički ID.
    2. Pristup   Recenzija:   Korisnik   grupa   uloge    prava   mora   biti   pregledano   na   najmanje kvartalno.
    3. Lozinke:
      1.   najmanje   osam znakova
      2.   mješavina   od   brojevi,   gornji   abecedni   i mala slova
      3. Uključi   na   najmanje    specijalni znak
      4. Promijenjeno   na   najmanje   svaki   šezdeset dana
      5. Lozinke   hoće   ne   biti   preneseno    jasan tekst
    4. Zapisnik   Isključeno:   Aplikacije   hoće   trupac   isključeno   korisnici   nakon   20   minuta   neaktivnosti.
    5. Neuspješno   Prijava:
      1. Računi   su   zaključano   nakon   pet   neuspjeh   prijava   pokušaji   unutar   60 minuta.
      2. Korisnici   hoće   ostati   zaključano   van   za   24   sati   ili   dok   the   račun je   resetirano od strane   administrator.
      3.   poruka   volja   prikaz   režija   the   korisnik   SZO   do   kontakt   kada   ovo   događaj se dogodi.
  4. Zapisnici : Zapisnici web aplikacija moraju se prikupljati i pregledavati u potrazi za sigurnosnim događajima. Ovi zapisnici moraju   susresti se   agencija   podaci   zadržavanje   zahtjevi. Minimalni   sigurnost   događaji   do   biti   prijavljen   uključuju:
    1. Startup   i gašenje
    2. Autentifikacija
    3. Izdavanje autorizacije/dozvole
    4. Pozivanje procesa
    5. Neuspješne prijave
    6. Neuspješno   podaci   pokušaj pristupa
    7. Brisanje podataka
    8. Prijenos podataka
    9. Primjena   promjena konfiguracije
  5. Primjena   Zaštitni zid  Jedan   aplikacija   zaštitni zid   hoće   biti   instaliran    prednji   od   sve vanjske   mreža   okrenute aplikacije.
  6. Izvor   Kod  Pristup   do   mreža   aplikacija   izvor   kod   hoće   biti   ograničeno   do   ovlašteni zaposlenici.
  7. Baza podataka  Backend   baze podataka   hoće   ne   biti   domaćin   na   the   isto   fizički   server   kao   web aplikacije u produkciji.
  8. Obuka  Web   aplikacija   programeri   mora   primiti   tehnički   obuka   godišnje    sigurno   tehnike kodiranja.
  1. Pružatelji usluga : Web aplikacije agencija koje je razvio/hostio pružatelj usluga aplikacija ili neka treća strana u velikoj mjeri su u skladu sa Standardom sigurnosti web aplikacija za preduzeća. http://das.ite.iowa.gov/standards/enterprise_it/index.html .
  2. Inventar  Agencije   mora   obezbijediti   the   Informacije   Sigurnost   Ured   sa   jedan   lista   od   sve web aplikacije koje prikupljaju povjerljive informacije.
    1. Naziv aplikacije
    2. URL
    3. Vlasnik aplikacije
  3. Sigurnost   Revizije  The   Informacije   Sigurnost   Ured   hoće   provoditi periodično   sigurnost   recenzije   primjera državnih web aplikacija.
Na vrh

Ažuriranja

Ovo   dokument   volja   biti   pregledano   na   najmanje   svaki   dva   godine    ažurirano   po potrebi.

Na vrh

Djelotvorno   Datum

Ovo   standard   hoće   biti   stupa na snagu u septembru   30. 2010.   za   sve   novo   mreža   aplikacije   i 31. decembra 2011. za sve postojeće web aplikacije.>

Na vrh

Provođenje

Ovo   standard   hoće   biti   nametnut   u skladu s tim   do   Ajova   Administrativno   Kod   11— 25.11(8A).

Na vrh

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.

Na vrh