Estándar de seguridad para aplicaciones web

7 de junio de 2010

Objetivo

Este documento establece los requisitos mínimos de seguridad para las aplicaciones web desarrolladas, propiedad de o gestionadas por organismos estatales.

Descripción general

Los organismos estatales utilizan aplicaciones web para ofrecer servicios, recopilar y difundir información. Los ciberdelincuentes atacan cada vez más las aplicaciones web para robar datos confidenciales y propagar software malicioso. Los organismos estatales deben garantizar que sus aplicaciones web cumplan con un conjunto mínimo de requisitos de seguridad.

Alcance

Para los fines de esta norma, la seguridad se define como la capacidad de proteger la confidencialidad, la integridad y la disponibilidad de la información procesada, almacenada y transmitida por las agencias a través de aplicaciones web. Los activos de tecnología de la información cubiertos por esta política incluyen aquellos que procesan, almacenan, transmiten o supervisan información digital.

Esta norma se aplica a todos los organismos según lo definido en el Capítulo 8A, Sección 101 del Código de Iowa.   Agencias no participantes   son   motivado   a   seguir   el   directrices en   esta y otras empresas   nivel   políticas, normas, directrices, procesos y procedimientos.

Definiciones

Seleccionado   términos   usado   en   el   Empresa   Web   Solicitud   Seguridad   Estándar   son   definido a continuación:

• Solicitud:   A   computadora   programa   o   colocar   de   programas   eso   encontrarse   un definido   colocar   de las necesidades del negocio.
• Disponibilidad : Garantizar el acceso y el uso oportunos y fiables de la información.
• Confidencialidad: Preservar las restricciones autorizadas sobre el acceso y la divulgación de la información, incluidos los medios para proteger la privacidad personal y la información confidencial.
• Desarrollo:   Ambiente   para   incompleto   versiones   de   un   solicitud;   inicial   Despliegue para pruebas; y pruebas informales por parte del equipo del proyecto.
• Integridad :   Vigilancia   contra   incorrecto   información   modificación   o   destrucción e incluye garantizar la no repudiación y la autenticidad de la información.
• Producción :   Ambiente   para   final   despliegue   de   aplicaciones   para   uso   por   público objetivo.
• Prueba:   Ambiente   para   preparación   para   producción   despliegue.   Formal   pruebas   Se realiza un análisis que incluye la funcionalidad, el rendimiento, la escalabilidad, la aceptación del usuario y la seguridad.
• Web   solicitud :   Un   externo   solicitud   eso   es   accedido   a través de   a   web   navegador   encima   La Internet.

Elementos

El   siguiente   son   el   elementos   de   el   Empresa   Web   Solicitud   Estándar de seguridad.

1. Social   Números de seguridad :
   1. Social   Seguridad   números   deber   no ser   usado   como   a   Usuario   Identificación   o   contraseña durante   iniciar sesión   para aplicaciones web.
   2. Social   Seguridad   números   deber   no   ser   desplegado   en   lleno   en   web   aplicaciones   más allá de   la pantalla de entrada de datos inicial
2. Desarrollo: Las agencias dedicadas al desarrollo de aplicaciones deben implementar entornos separados de desarrollo, prueba y producción para las aplicaciones que desarrollan. Las agencias que se dedican al alojamiento de aplicaciones deben implementar entornos separados de prueba y producción.
   1. Agencias   debe   eliminar   prueba   datos   y   cuentas   de   producción   sistemas   antes   Estos sistemas se activan.
3. Producción   Datos:   Usar   de   confidencial   datos   en   prueba   entornos   requiere   agencia   aprobación de la gerencia.
   1. Prueba   entornos   usando   confidencial   datos   deber   encontrarse   estándares   equivalente   a   el sistema de producción.
4. Vulnerabilidades de codificación: Las agencias deberán desarrollar aplicaciones web basadas en directrices de codificación segura.   y   eliminar   común   codificación   vulnerabilidades.   En   a   mínimo   agencias   debe   encontrarse   Las directrices actuales del Open Web Application Security Project (OWASP) http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project para prevenir:
   1. Inyección   (SQL,   LDAP, etc.)
   2. Sitio cruzado   Scripting (XSS)
   3. Roto   Autenticación   y   Gestión de sesiones
   4. Inseguro   Directo   Referencias de objetos
   5. Cruz   Sitio   Solicitar falsificación
   6. Configuración de seguridad incorrecta
   7. Falla   a   Restringir   Acceso a URL
   8. No validado   Redirecciones   y delanteros
   9. Inseguro   Almacenamiento criptográfico
   10. Insuficiente   Transporte   Protección por capas

5. Solicitud   Pruebas :   Agencias   deber   revisar   y   prueba   web   aplicaciones   para   seguridad   vulnerabilidades que utilizan un   Herramienta automatizada de escaneo de aplicaciones web. Revisión de aplicaciones.   deberá incluir la fuente   Análisis del código y del tiempo de ejecución.

   1. Web   aplicaciones   deber   ser   escaneado   usando   todo   solicitud   roles   (ex.   usuario   y administrador).

   2. Nuevo   web   aplicaciones   debe   ser   escaneado   antes   yendo   a producción.

   3. Existente   web   aplicaciones   debe   ser   escaneado   anualmente   y   cuando sea   significativo   Se realizan cambios en la aplicación.
   4. Crítico/alto   vulnerabilidades   identificado   por   el   web   solicitud   escaneos   deber   ser remediado.
   5. El   web   solicitud   revisar   debe   ser   realizado   por   alguien   otro   que   el desarrollador.
   6. El   Información   Seguridad   Oficina   deber   mantener   a   lista   de   criterios   para aprobado   herramientas de escaneo de aplicaciones web.
6. Gestión de cambios : Las agencias deberán implementar un procedimiento de gestión de cambios para el despliegue de sus aplicaciones web. Se deberá implementar la separación de funciones para evitar que los desarrolladores publiquen sus propias aplicaciones en el entorno de producción.

7. Cifrado :   Web   aplicaciones   coleccionismo   o   mostrando   confidencial   datos   debe   cifrar   el   datos en tránsito.
   1. Datos   en   tránsito   deber   ser   protegido   con   SSL   3.1/TLS   1.0,   equivalente o   más alto   método   de cifrado.
8. Iniciar sesión   Banner :   Web   aplicaciones   cual   requerir   a   iniciar sesión   deber   tener   a   iniciar sesión   bandera.   El banner deberá ser aprobado por el asesor legal de la agencia e informar a los usuarios que:
   1. Usuarios   son   entrando   a   Estado   de   Sistema de Iowa
   2. Acceso   es   limitado   a   autorizado   usar solamente
   3. Usuarios   consentir   para monitorear
9. Acceso   Control :   Usuario   autenticación   es   requerido   para   todo   web   aplicaciones   eso   recolectar,   transmitir, mostrar o almacenar datos confidenciales o donde se deba mantener la integridad de los datos. Los controles de acceso requeridos incluyen:
   1. Usuario   IDENTIFICACIÓN:   Cada   usuario   debe   tener   a   único   ID de usuario.
   2. Acceso   Revisar:   Usuario   grupo   roles   y   derechos   debe   ser   revisado   en   al menos trimestralmente.
   3. Contraseñas:
      1. En   el menos   ocho caracteres
      2. A   mezcla   de   números,   superior   alfabético   y letras minúsculas
      3. Incluir   en   el menos   1   personaje especial
      4. Cambió   en   el menos   cada   sesenta días
      5. Contraseñas   deber   no   ser   transmitido   en   texto claro
   4. Registro   Apagado:   Aplicaciones   deber   registro   apagado   usuarios   después   20   minutos   de inactividad.
   5. Fallido   Acceso:
      1. Cuentas   son   cerrado   después   cinco   fallido   acceso   intentos   dentro   60 minutos.
      2. Usuarios   deber   permanecer   cerrado   afuera   para   24   horas   o   hasta   el   La cuenta es   restablecido por   un administrador.
      3. A   mensaje   voluntad   mostrar   dirigente   el   usuario   OMS   a   contacto   cuando   este   ocurre el evento.
10. Registros : Los registros de la aplicación web deben recopilarse y revisarse para detectar eventos de seguridad. Estos registros deben   encontrarse   agencia   datos   retención   Requisitos. Mínimo   seguridad   eventos   a   ser   registrado   incluir:
    1. Puesta en marcha   y cierre
    2. Autenticación
    3. Concesión de autorización/permiso
    4. Invocación del proceso
    5. Inicios de sesión fallidos
    6. Fracasado   datos   intento de acceso
    7. Eliminación de datos
    8. transferencias de datos
    9. Solicitud   cambio de configuración
11. Solicitud   Cortafuegos :   Un   solicitud   cortafuegos   deber   ser   instalado   en   frente   de   todo externo   web   aplicaciones de cara.
12. Fuente   Código :   Acceso   a   web   solicitud   fuente   código   deber   ser   restringido   a   empleados autorizados.
13. Base de datos :   Backend   bases de datos   deber   no   ser   alojado   en   el   mismo   físico   servidor   como   Aplicaciones web en producción.
14. Capacitación :   Web   solicitud   desarrolladores   debe   recibir   técnico   capacitación   anualmente   en   seguro   técnicas de codificación.