Есть ли стандарт, регламентирующие обязательные требования для обеспечения безопасности web приложений (сайтов)

Question

[cat_crash]

Доброго дня.

Навеяно последними событиями МТБанка и Билайна…
По долгу работы интересуюсь безопасностью в области web разработок, в т.ч. web сайтов. Долго искал — существует ли какой либо стандарт и стандартизация сайта на предмет соответствия безопасности.

Я знаю про iso27001 но де-факто он не сильно защищает сайты, и довольно сложен для внедрения в организациях малого и среднего уровня
OWASP — как такового стандарта нет, больше набор тулов, сведений, информации для размышления
OSSTMM — тут больше направленность на тестирование сайтов на предмет уязвимостей.

В идеале что бы хотелось видеть: документ, дающий четкие указания что и как должно быть для обеспечения безопасности сайта (аналог ISO 27001 но более технической направленности в плане web технологий)

Answer 1

[Андрей]

Как говорится, у NIST-а есть всё:

csrc.nist.gov/publications/nistpubs/800-95/SP800-95.pdf

Comments

[cat_crash]

Спасибо, только это не совсем стандарт — это Guide to Secure Web Services. Но это намного больше чем ничего! :)

[Андрей]

Special Publications NIST-а — это очень серьезные документы.
На них равняются за рубежом как на стандарты.

Answer 2

[Андрей Ширяев]

Может лучше стоит узнать о способах и как и проводят и тогда вы сможете от них защититься. А вот для безопасности серверов помню были такие.

Answer 3

[snowytoxa]

Возьмите OWASP Development Guide, это что касается именно web. А касательно веб окружения (сервер, субд, прочий софт) воспользуйтесь любым другим стандартом более общего назначения.

Если интересно, посмотрите в сторону PCI DSS, понятно что он совсем не про вас, но интересные идеи там есть.

Comments

[Sergey]

В рамках вопроса интересен там лишь пункт 6.6:

6.6 Следует обеспечить защиту
общедоступных веб-приложений
от известных атак (а также
регулярно учитывать новые
угрозы и уязвимости) одним из
следующих методов:
 Проверять приложение на
наличие уязвимостей с
использованием методов
ручного или автоматического
анализа защищенности
приложений не реже одного
раза в год, а также после
внесения изменений.
 Установить межсетевой экран
прикладного уровня перед веб-
ориентированными
приложениями

Для общедоступных веб-приложений
проверить выполнение одного из следующих
требований:
Убедиться, что анализ (с использованием
методов ручного или автоматического анализа
защищенности приложений) общедоступных веб-
приложений проходит следующим образом:
— не реже одного раза в год;
— после любых изменений;
— организацией, которая специализируется на
безопасности приложений;
— все уязвимости устраняются;
— безопасность приложения анализируется
повторно после принятия корректирующих
действий.
 Убедиться, что перед общедоступным веб-
приложением установлен межсетевой экран
прикладного уровня (web application firewall) для
обнаружения и предупреждения веб-
ориентированных атак.
Примечание: “Организация, специализирующаяся
на безопасности приложений” – как внутренняя,
так и сторонняя организация, эксперты которой
специализируются на безопасности приложений и
не зависят от команды разработчиков.

[snowytoxa]

PCI DSS, я предложил в качестве стандарта защиты в целом, а не конкретно веб-приложения, поэтому он применим почти весь, а не только п.6.6.

Answer 4

[Владимир Чернышев]

Возможно будет полезным приказ ФСТЭК «ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»

ispdn.ru/law/5821/#text

Answer 5

[Eskimo]

Где-то во время написания курсача видел документ ~«гайдлайн/мануал по технической части для гос сайтов». Поискать надо бы. Ну ивот выше Guide to Secure Web Services. Больше не читал.

Answer 6

[Аббас Гусенов]

Интересовался недавно требованиями стандарта NIST 800-95 (Guide to Secure Web Services) к обеспечению безопасности вeб-порталов и составил пару схем:

1. Схема взаимодействия пользователя, веб-портала, поставщика идентификационной информации и поставщика веб-служб

   
   
   
2. Требования стандарта NIST SP 800-95 к обеспечению безопасности web-порталов

   
   
   

Может, кому-нибудь ещё пригодится.