Norme de sécurité des applications Web

7 juin 2010

But

Ce document énonce les exigences minimales de sécurité pour les applications Web développées, détenues ou gérées par les agences de l'État.

Aperçu

Les organismes d'État utilisent des applications web pour offrir des services, recueillir et diffuser des informations. Les cybercriminels ciblent de plus en plus ces applications pour voler des données confidentielles et propager des logiciels malveillants. Les organismes d'État doivent s'assurer que leurs applications web respectent un ensemble minimal d'exigences de sécurité.

Portée

Aux fins de la présente norme, la sécurité est définie comme la capacité de protéger la confidentialité, l’intégrité et la disponibilité des informations traitées, stockées et transmises par les organismes via des applications Web. Les ressources informatiques visées par la présente politique comprennent celles qui traitent, stockent, transmettent ou surveillent les informations numériques.

Cette norme s'applique à toutes les agences telles que définies par le chapitre 8A, section 101 du Code de l'Iowa.   Organismes non participants   sont   encouragé   à   suivre   le   directives   cette entreprise et d'autres   niveau   politiques, normes, lignes directrices, processus et procédures.

Définitions

Choisi   termes   utilisé   dans   le   Entreprise   Web   Application   Sécurité   Standard   sont   défini ci-dessous :

• Application:   UN   ordinateur   programme   ou   ensemble   de   programmes   que   rencontrer   une définition   ensemble   des besoins de l'entreprise.
• Disponibilité : Garantir un accès et une utilisation rapides et fiables de l'information.
• Confidentialité : Préservation des restrictions autorisées en matière d'accès et de divulgation des informations, y compris les moyens de protéger la vie privée et les informations confidentielles.
• Développement:   Environnement   pour   incomplet   versions   de   un   application;   initial   Déploiement à des fins de test ; et tests informels réalisés par l'équipe projet.
• Intégrité :   Garde   contre   incorrect   information   modification   ou   destruction et comprend la garantie de la non-répudiation et de l'authenticité des informations.
• Production :   Environnement   pour   final   déploiement   de   applications   pour   usage   par   Public cible.
• Test:   Environnement   pour   préparation   pour   production   déploiement.   Officiel   essai   y compris les fonctionnalités, les performances, l'évolutivité, l'acceptation par l'utilisateur et la sécurité sont évaluées.
• Web   application :   Un   externe   application   que   est   accédé   via   un   web   navigateur   sur   Internet.

Éléments

Le   suivant   sont   le   éléments   de   le   Entreprise   Web   Application   Norme de sécurité.

1. Sociale   Numéros de sécurité :
   1. Sociale   Sécurité   Nombres   devoir   ne pas être   utilisé   comme   un   Utilisateur   Identifiant   ou   mot de passe pendant   connexion   pour les applications web.
   2. Sociale   Sécurité   Nombres   devoir   pas   être   affiché   dans   complet   sur   web   applications   au-delà   l'écran de saisie de données initial
2. Développement : Les organismes chargés du développement d’applications doivent mettre en œuvre des environnements de développement, de test et de production distincts pour les applications qu’ils développent. Les organismes chargés de l’hébergement d’applications doivent mettre en œuvre des environnements de test et de production distincts.
   1. Agences   doit   retirer   test   données   et   comptes   depuis   production   systèmes   avant   Ces systèmes deviennent actifs.
3. Production   Données:   Utiliser   de   confidentiel   données   dans   test   environnements   nécessite   agence   Approbation de la direction.
   1. Test   environnements   en utilisant   confidentiel   données   devoir   rencontrer   normes   équivalent   à   le système de production.
4. Vulnérabilités de codage : Les agences doivent développer des applications Web en respectant les directives de codage sécurisé.   et   éliminer   commun   codage   vulnérabilités.   À   un   minimum   agences   doit   rencontrer   les recommandations actuelles de l'Open Web Application Security Project (OWASP) http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project pour prévenir :
   1. Injection   (SQL,   LDAP, etc.)
   2. Sites intersites   Scripting (XSS)
   3. Cassé   Authentification   et   Gestion de session
   4. Précaire   Direct   Références d'objets
   5. Croix   Site   Demande de faux
   6. Erreur de configuration de sécurité
   7. Échec   à   Limiter   Accès URL
   8. Non validé   Redirections   et avant
   9. Précaire   Stockage cryptographique
   10. Insuffisant   Transport   Couche de protection

5. Application   Tests :   Agences   devoir   revoir   et   test   web   applications   pour   sécurité   vulnérabilités utilisant un   Outil automatisé d'analyse d'applications web. Examen des applications   doit inclure la source   Analyse du code et du temps d'exécution.

   1. Web   applications   devoir   être   scanné   en utilisant   tous   application   rôles   (ex.   utilisateur   et administrateur).

   2. Nouveau   web   applications   doit   être   scanné   avant   en allant   à la production.

   3. Existant   web   applications   doit   être   scanné   annuellement   et   chaque fois que   significatif   Des modifications sont apportées à l'application.
   4. Critique/élevé   vulnérabilités   identifié   par   le   web   application   scans   devoir   être remédié.
   5. Le   web   application   revoir   doit   être   mené   par   quelqu'un   autre   que   le développeur.
   6. Le   Information   Sécurité   Bureau   devoir   maintenir   un   liste   de   critères   pour approuvé   Outils d'analyse d'applications Web.
6. Gestion des changements : Les organismes doivent mettre en œuvre une procédure de gestion des changements pour le déploiement de leurs applications web. Une séparation des tâches doit être instaurée afin d’empêcher les développeurs de publier leurs propres applications en production.

7. Chiffrement :   Web   applications   collecte   ou   affichage   confidentiel   données   doit   chiffrer   le   Données en transit.
   1. Données   dans   transit   devoir   être   protégé   avec   SSL   3.1/TLS   1.0,   équivalent ou   plus haut   méthode   de chiffrement.
8. Connexion   Bannière :   Web   applications   lequel   exiger   un   se connecter   devoir   avoir   un   se connecter   bannière.   La bannière devra être approuvée par le conseiller juridique de l'agence et informer les utilisateurs que :
   1. Utilisateurs   sont   entrer   un   État   de   Système de l'Iowa
   2. Accéder   est   limité   à   autorisé   utiliser uniquement
   3. Utilisateurs   consentement   à la surveillance
9. Accéder   Contrôle :   Utilisateur   authentification   est   requis   pour   tous   web   applications   que   collecter,   Transmettre, afficher ou stocker des données confidentielles ou lorsque l'intégrité des données doit être préservée. Les contrôles d'accès requis comprennent :
   1. Utilisateur   IDENTIFIANT:   Chaque   utilisateur   doit   avoir   un   unique   ID de l'utilisateur.
   2. Accéder   Revoir:   Utilisateur   groupe   rôles   et   droits   doit   être   examiné   à   au moins trimestriellement.
   3. Mots de passe :
      1. À   moins   huit caractères
      2. UN   mélange   de   Nombres,   supérieur   alphabétique   et les lettres minuscules
      3. Inclure   à   moins   1   caractère spécial
      4. Modifié   à   moins   chaque   soixante jours
      5. Mots de passe   devoir   pas   être   transmis   dans   texte clair
   4. Enregistrer   Désactivé:   Applications   devoir   enregistrer   désactivé   utilisateurs   après   20   minutes   d' inactivité.
   5. Échoué   Se connecter:
      1. Comptes   sont   fermé   après   cinq   échoué   se connecter   tentatives   dans   60 minutes.
      2. Utilisateurs   devoir   rester   fermé   dehors   pour   24   heures   ou   jusqu'à   le   le compte est   réinitialisé par   un administrateur.
      3. UN   message   volonté   afficher   direction   le   utilisateur   OMS   à   contact   quand   ce   L'événement se produit.
10. Journaux : Les journaux des applications Web doivent être collectés et analysés afin de détecter les événements de sécurité. Ces journaux doivent   rencontrer   agence   données   rétention   exigences minimales.   sécurité   événements   à   être   connecté   inclure:
    1. Démarrer   et arrêt
    2. Authentification
    3. octroi d'autorisations/permissions
    4. Invocation de processus
    5. Échecs de connexion
    6. Infructueux   données   tentative d'accès
    7. Suppressions de données
    8. transferts de données
    9. Application   modification de la configuration
11. Application   Pare-feu :   Un   application   pare-feu   devoir   être   installé   dans   devant   de   tous les externes   web   applications de face.
12. Source   Code :   Accéder   à   web   application   source   code   devoir   être   limité   à   employés autorisés.
13. Base de données :   Backend   bases de données   devoir   pas   être   hébergé   sur   le   même   physique   serveur   comme   Applications web en production.
14. Entraînement :   Web   application   développeurs   doit   recevoir   technique   entraînement   annuellement   dans   sécurisé   techniques de codage.