Weiterbildung
CAS Information Security & Risk Management 2018: ISO 27034 und OpenSAMM: Wie kann dies optimal genutzt werden?
17. April 2018
Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:
Zuerst möchte ich auf die beiden Begriffe ISO 27034 und OpenSAMM eingehen.
Blogpost wurde erstellt von Manuel Fischer im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.
zurück zu allen Beiträgen
ISO 27034
Generell
Bei ISO 27034 handelt es sich um eine Norm, die zur ISO[1]/IEC[2]-27000-Reihe gehört und die Anwendungssicherheit normiert. Die 27000er-Reihe selbst normiert viele Aspekte der Informationssicherheit.[3] Die Norm ISO 27034 selbst ist in sechs Teile gegliedert:- Teil 1: Übersicht und Konzepte
- stellt die Übersicht über die Anwendungssicherheit zur Verfügung und führt ein in die Definitionen, Konzepte, Prinzipien und Prozesse, die in der Anwendungssicherheit involviert sind.
- Teil 2: Normativer Rahmen für die Organisation/Organization Normative Framework (ONF)
- beschreibt die Beziehungen und die wechselseitigen Abhängigkeiten in der Organisation.
- Teil 3: Anwendungssicherheitsverwaltungsprozess
- beschreibt die für die Informationssicherheit relevanten Prozesse innerhalb eines Anwendungsentwicklungsprojekts
- Teil 4: Anwendungssicherheitsvalidierung
- beschreibt die Anwendungssicherheitszertifizierung und -validierungsprozesse
- Teil 5 Protokolle und Applikationssicherheitskontrollelemente
- beschreiben die «Application Security Control (ASC)»-Datenstruktur
- Teil 6 Sicherheitsanleitung für spezifische Anwendungen
- kennzeichnet die «Application Security Controls», die mit den Anforderungen an eine spezifische Anwendungssicherheit übereinstimmen (falls anwendbar)
Ablauf in der Entwicklung
Nachfolgend der Ablauf des Frameworks vor und während der Softwareentwicklung: Abbildung 1: Quelle Andreas WislerPunkte beim ISO 27034 Security Testing Process
- Security by Design:
- Unterstützung bei der Entwicklung der Sicherheitsarchitektur
- Threat Modeling:
- Überprüfung der Sicherheitsarchitektur auf Sicherheitslücken
- Static Source Code Analysis:
- Formale Prüfung des Source Codes (Code Reading)
- Penetration Testing:
- Simulated Attacks u.a. zur Überprüfung auf bereits bekannte Sicherheitslücken inklusive Explorative Testing und manuellem Code Auditing
- Dynamic Analysis:
- Blackbox-Test mit erfahrungsgemäss erfolgreichen Angriffsdaten zur Identifizierung der Sicherheitslücken in der Implementierung und Laufzeit-Umgebung
- Explorative Testing und manuelles Code Auditing
- Identifizierung und Analyse von Covert Functions
- undokumentierte, verdeckte Funktionen – u.a. auch auf Smartphones und Mobile Devices
Ablauf des ISO 27034 Security Testing Process
Abbildung 2: Quelle: www.softScheck.comOpenSAMM
Das Akronym steht für die englische Bezeichnung «Open Software Assurance Maturity Model» und ist ein offener konzeptioneller Rahmen, der Firmen/Organisationen hilft, eine Strategie für Softwaresicherheit zu formulieren und zu implementieren, die auf die speziellen Risiken in der Organisation zugeschnitten ist. Nachfolgend eine Übersicht, wie SAMM in den Entwicklungsprozess integriert ist. Abbildung 3: OpenSAMM Software-Entwicklung Quelle: www.opensamm.orgVergleich ISO 27034 und Open SAMM
Wie sieht ein Vergleich von ISO 27034 mit Open SAMM aus? Nachfolgende Tabelle zeigt, wie sich die dem SDL (Security Development Lifecycle) zugeordneten Prozesse und Ressourcen auf die in Open SAMM definierten 12 Sicherheitspraktiken beziehen. Das große Diamantsymbol wird verwendet, um anzuzeigen, wo eine Open SAMM-Praxis eine sehr enge Beziehung zu einem Thema innerhalb von ISO/IEC 27034 hat und ein kleinerer Diamant für schwächere Beziehungen. Abbildung 4: OpenSAMM vs. ISO 27034 Quelle: www.opensamm.orgOptimaler Nutzen ISO 27034 und OpenSAMM
Die beiden Ansätze für die Berücksichtigung des Sicherheitsaspektes in der Softwareentwicklung sind ergänzend. Somit liegt der optimale Nutzen in der Abdeckung der jeweiligen Bereiche, die vom Modell oder Framework nicht oder nur schwach abgedeckt wird Das Maturitäts-Modell OpenSAMM bezieht sich auf die 12 Sicherheitspraktiken «Security Practice», während die ISO-Norm entwickelt wurde, um Organisationen dabei zu helfen, Sicherheit über den gesamten Lebenszyklus von Anwendungen hinweg aufzubauen. Viele Berührungspunkte gibt es aus Sicht ISO 27034 bei der Bibliothek für die Anwendungssicherheitskontrolle und in der Bereitstellung und dem Betrieb der Anwendung. Einige Überschneidungen gibt es aus Sicht OpenSAMM im Bereich «Governance» Im Allgemeinen sollte eine Organisation, die einen beliebigen Entwicklungszyklus verwendet, ein Mapping durchführen und fehlende Komponenten oder Prozesse hinzufügen, die für die Einhaltung der ISO / IEC 27034 erforderlich sind. [1] ISO = International Standardization Organization [2] IEC = International Electrotechnical Commission [3] Wikipedia https://de.wikipedia.org/wiki/ISO/IEC-27000-ReiheBlogpost wurde erstellt von Manuel Fischer im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.