[BSI-Webbaustein-Review] Und los gehts!, war: Weiteres Vorgehen

Dirk Wetter dirk.wetter at owasp.org
Di Apr 17 15:29:33 UTC 2012


Am 04/17/2012 02:27 PM, schrieb Kai Jendrian:
> Hallo Ralf, liebe Liste ;-)
> 
> On Mon, Apr 16, 2012 at 7:59 PM, Ralf Reinhardt
> <ralf.reinhardt at owasp.org> wrote:
>> Der Baustein soll am Ende - so habe ich es zumindest verstanden - ein
>> pragmatischer Leitfaden sein, gedacht für Personen, die sich ggf. zum
>> ersten Mal mit dem Thema Web Application Security beschäftigt. Es geht
>> also imho nicht um einen hoch-akademischen Anspruch. Der generelle
>> Inhalt, die Verständlichkeit und Anwendbarkeit (und ggf.
>> Vollständigkeit) sollten im Vordergrund stehen, auch in unserem Review
>> Dokument.
> 
> An dieser Stelle noch eine wichtige Ergänzung: Ein Baustein beim BSI
> ist eine Sammlung von Schutzmaßnahmen, die umgesetzt sein müssen, wenn
> man eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz
> anstrebt - also nachweisen will, dass man seine Hausaufgaben zur
> IT-Sicherheit gemacht hat.
> Vor diesem Hintergrund ist der Baustein als mehr als nur ein Werk, das
> Unbedarfte an das Thema Sicherheit von Webanwendungen heranführen
> soll, sondern tatsächlich ein Teil der Zertifizierungsgrundlage!

good point. Mit unserer OWASP-Brille betrachtet sehen dann aber die
organisatorischen Maßnahmen/Mängel etwas mau aus (hattest Du Dich nicht
auch schon drüber irgendwo mokiert?)

Organisatorische Mängel

– G 2.1 Fehlende oder unzureichende Regelungen
– G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
– G 2.7 Unerlaubte Ausübung von Rechten
– G 2.22 Fehlende Auswertung von Protokolldaten
– G 2.27 Fehlende oder unzureichende Dokumentation
– G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten
– G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen
– G 2.103 Unzureichende Schulung der Mitarbeiter
– G 2.WA01 Mangelhafte Auswahl oder Konzeption von Web-Anwendungen
– G 2.WA02 Mängel bei der Entwicklung und der Erweiterung von
  Web-Anwendungen
– G 2.WA03 Unzureichender Schutz personenbezogener Daten bei
  Web-Anwendungen

Vergleiche Reifemodelle wie OpenSAMM/BSIMM etc.

Da müssten wir uns vielleicht kurz zu auslassen. Nicht im Detail.
So als Sammeltopf vielleicht unter Vollständigkeit hier:

http://www.owasp.com/index.php/OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen/Allgemeine_Punkte


VG, Dirk







SG, Dirk





More information about the BSI-Webbaustein-Review mailing list