Есть ли стандарт, регламентирующие обязательные требования для обеспечения безопасности web приложений (сайтов)

Доброго дня.

Навеяно последними событиями МТБанка и Билайна…
По долгу работы интересуюсь безопасностью в области web разработок, в т.ч. web сайтов. Долго искал — существует ли какой либо стандарт и стандартизация сайта на предмет соответствия безопасности.

Я знаю про iso27001 но де-факто он не сильно защищает сайты, и довольно сложен для внедрения в организациях малого и среднего уровня
OWASP — как такового стандарта нет, больше набор тулов, сведений, информации для размышления
OSSTMM — тут больше направленность на тестирование сайтов на предмет уязвимостей.

В идеале что бы хотелось видеть: документ, дающий четкие указания что и как должно быть для обеспечения безопасности сайта (аналог ISO 27001 но более технической направленности в плане web технологий)
  • Вопрос задан
  • 6688 просмотров
Пригласить эксперта
Ответы на вопрос 6
@Claud
Может лучше стоит узнать о способах и как и проводят и тогда вы сможете от них защититься. А вот для безопасности серверов помню были такие.
Ответ написан
@snowytoxa
Возьмите OWASP Development Guide, это что касается именно web. А касательно веб окружения (сервер, субд, прочий софт) воспользуйтесь любым другим стандартом более общего назначения.

Если интересно, посмотрите в сторону PCI DSS, понятно что он совсем не про вас, но интересные идеи там есть.
Ответ написан
Возможно будет полезным приказ ФСТЭК «ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»

ispdn.ru/law/5821/#text
Ответ написан
Eskimo
@Eskimo
Где-то во время написания курсача видел документ ~«гайдлайн/мануал по технической части для гос сайтов». Поискать надо бы. Ну ивот выше Guide to Secure Web Services. Больше не читал.
Ответ написан
Интересовался недавно требованиями стандарта NIST 800-95 (Guide to Secure Web Services) к обеспечению безопасности вeб-порталов и составил пару схем:
  1. Схема взаимодействия пользователя, веб-портала, поставщика идентификационной информации и поставщика веб-служб
    5b11713c7a0d6548442607.png

  2. Требования стандарта NIST SP 800-95 к обеспечению безопасности web-порталов
    5b11714cd2061884458858.png


Может, кому-нибудь ещё пригодится.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы