Titel
Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development
1
CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern
Subcommunity
Publiek-Private Samenwerking
DG Normen
DG Privacy
DG Aware ness
DG Ketens
Cyber Security Platform
Overheidsparticipanten en -relaties
3
Overheidsparticipanten en -relaties
4
Voor niets gaat de zon op:
Veilige software via een effectieve assurance tactiek
Eisen aan de methode • Leveranciersonafhankelijk: Geen eisen die ingrijpen op het HOE bij de leverancier Inzetbaar bij meerdere verschillende leveranciers • Toepasbaar bij verschillende ontwikkelmethodieken
• Meegeven beveiligingseisen is niet een verwijzing naar een (ISO-)standaard: Maak eisen op maat met een risicoanalyse Grip op Secure Software Development
Maak de leveranciers duidelijk dat je (steeds meer) gaat sturen
6
De methode: In contact en in control komen Standaard beveiligingseisen
Security Architectuur Blokken
Baseline security
Classificatie Systemen Gegevens
Attack patterns
De SSD-processen Risicoanalyse & PIA
Bijhouden risicomitigatie en risicoacceptatie
(Misuse & abuse)
Beveiligings-
Beveiligings-
eisen
testplan Code
Contactmomenten Initiatie verandering
review Ontwerp
Software ontwikkeling
Risico-
Testen en toetsen
acceptatie
Testen
Acceptatie
Pentesten
Implementatie
Het voortbrengingsproces Grip op Secure Software Development
7
De methode: Governance
Organisatorische inrichting SSD
SSD-processen: volwassen ingevuld Business Impact Analyse
Onderhoud standaard beveiligingseisen
Sturen op maturity
Standaard beveiligingseisen Security Architectuur Blokken
Baseline security
Grip op Secure Software Development
Classificatie • Systemen • Gegevens
Attack patterns 8
Normen volgens SIVA methodiek Onderwerp – werkwoord Criterium
x(wat)xxx werkwoord xxxx trefwoord xxxx
(wie en wat) Doelstelling (waarom) Risico audit-invalshoek Indicatoren trefwoord xxx xxx
implementatieinvalshoek
Groeien naar volwassenheid SSD-processen dezelfde tooling en prestatie-indicatoren leveranciers
dezelfde tooling en prestatie-indicatoren leveranciers
1
kopie baseline beveiligingseisen
op ad-hoc basis
op ad-hoc basis
CMMniveau
Beveiligingseisen
Code review
Testen en toetsen
gebruik dashboard
5
Security by design vergelijking
pentest na externe melding beveiligingsdreiging
indicatoren
leveranciers 8. Rapportages op de 7. Meenemen context: afwijkingen hogere de applicatiemethodische aanpak prestatie-indicatoren • BIA en IB risico-analyse voorspelbaarheid met onderdeel van het eigenaar voorkomt (Rood/Groen) voor versneld gebruik voor onderlinge kortcyclische acceptatieproces kortcyclisch •5.Security-architectuur nieuwe leveranciers: eisen vergelijking 4. Vergroten bewustzijn: Feedback processen negatieve bevindingen 6. Formele acceptatie •Eerst als bijlage op versie •Campagneleider in lijn met de bedrijfsstandaard voor testset afgestemd op periodiek voor gedoogsituatie actieve monitoring 3. Applicatielijst: in de contracten. •Voorbeeld publiceren en securitybedrijfskritische de bedrijfsen bedrijfskritische van de 2. Afspraken: architectuur systemen 1. Faciliteren security-architectuur vervolgafspraken testproces: systemen•Prioriteren applicaties •Uitleg methode aan de •Uitleg van de methode •Inventarisatie hanteren IM’safgestemde selectie tegen bedrijfsbreed incidenteel voor acceptatie mèt •Uitleg van de baseline baseline baseline steekproefsgewijs vastgestelde baseline bedrijfskritische vervolgafspraken met •Contract leveranciers beveiligingseisen beveiligingseisen systemen applicatie-eigenaar
4
3
2
Grip op Secure Software Development
acceptatie zonder slechts na vervolgafspraken met beveiligingsincidenten applicatie-eigenaar
Pentesten
Risicoacceptatie
10
formele processen
dezelfde prestatie-indicatoren leveranciers
Een succesvolle invoering van de methode Grip op SSD Comply or explain
Begin met een minimum baseline…. en start met het dashboard. Stel de beveiligingsrisicoanalyse verplicht voor alle IV-projecten WBP
PIA
Baselines en risicoanalyses maken is een vak: Organiseer kennis
CIP netwerk
Nog niet
Doe aan verwachtingsmanagement: Zet CMM als roadmap in.
Zet de methode niet om in een implementatieplan Grip op Secure Software Development
Zorg voor commitment 11
Een vooruitblik • SSD-methode verder versterkt met: – Tips & Tricks – Artikel in generieke beveiligingsovereenkomst
• Uitbreiden van de SSD normen (SIVA based) • Start practitioners groep op 11 juni
Grip op SSD als open methode (Overheids)partijen hebben een gemeenschappelijk belang: Veelal dezelfde leveranciers: • Zelfde manier van aansturen: • Gebruik van dezelfde normen:
Grip op SSD methode Grip op SSD SIVA beveiligingsnormen
Deel je inzicht met de SSD partitioners groep Contact:
[email protected] 020-6879108 www.CIP-overheid.nl/downloads
Grip op Secure Software Development
13