[BSI-Webbaustein-Review] Und los gehts!, war: Weiteres Vorgehen

Matthias Rohr mail at matthiasrohr.de
Di Apr 17 15:43:11 UTC 2012


Hallo,

ich denke wir sollten hier insbesondere drei wichtige Punkte für den
Review festhalten:

1. Es geht bei dem Baustein um einen Grundschutz und nicht um das was
man alles im Bereich Webanwendungssicherheit "so machen kann". Also um
dass, was man für alle Webanwendungen umzusetzen und zu beachten hat.

2. Maßnahmen müssen immer so beschrieben sein, dass sich deren
Einhaltung überprüfen lässt.

3. Leser können auch Anwender sein, die mit dem Thema Websecurity nicht
firm sind.

Gruß

Matthias

Am 4/17/12 17:29 , schrieb Dirk Wetter:
> Am 04/17/2012 02:27 PM, schrieb Kai Jendrian:
>> Hallo Ralf, liebe Liste ;-)
>>
>> On Mon, Apr 16, 2012 at 7:59 PM, Ralf Reinhardt
>> <ralf.reinhardt at owasp.org> wrote:
>>> Der Baustein soll am Ende - so habe ich es zumindest verstanden - ein
>>> pragmatischer Leitfaden sein, gedacht für Personen, die sich ggf. zum
>>> ersten Mal mit dem Thema Web Application Security beschäftigt. Es geht
>>> also imho nicht um einen hoch-akademischen Anspruch. Der generelle
>>> Inhalt, die Verständlichkeit und Anwendbarkeit (und ggf.
>>> Vollständigkeit) sollten im Vordergrund stehen, auch in unserem Review
>>> Dokument.
>>
>> An dieser Stelle noch eine wichtige Ergänzung: Ein Baustein beim BSI
>> ist eine Sammlung von Schutzmaßnahmen, die umgesetzt sein müssen, wenn
>> man eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz
>> anstrebt - also nachweisen will, dass man seine Hausaufgaben zur
>> IT-Sicherheit gemacht hat.
>> Vor diesem Hintergrund ist der Baustein als mehr als nur ein Werk, das
>> Unbedarfte an das Thema Sicherheit von Webanwendungen heranführen
>> soll, sondern tatsächlich ein Teil der Zertifizierungsgrundlage!
> 
> good point. Mit unserer OWASP-Brille betrachtet sehen dann aber die
> organisatorischen Maßnahmen/Mängel etwas mau aus (hattest Du Dich nicht
> auch schon drüber irgendwo mokiert?)
> 
> Organisatorische Mängel
> 
> – G 2.1 Fehlende oder unzureichende Regelungen
> – G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
> – G 2.7 Unerlaubte Ausübung von Rechten
> – G 2.22 Fehlende Auswertung von Protokolldaten
> – G 2.27 Fehlende oder unzureichende Dokumentation
> – G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten
> – G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen
> – G 2.103 Unzureichende Schulung der Mitarbeiter
> – G 2.WA01 Mangelhafte Auswahl oder Konzeption von Web-Anwendungen
> – G 2.WA02 Mängel bei der Entwicklung und der Erweiterung von
>   Web-Anwendungen
> – G 2.WA03 Unzureichender Schutz personenbezogener Daten bei
>   Web-Anwendungen
> 
> Vergleiche Reifemodelle wie OpenSAMM/BSIMM etc.
> 
> Da müssten wir uns vielleicht kurz zu auslassen. Nicht im Detail.
> So als Sammeltopf vielleicht unter Vollständigkeit hier:
> 
> http://www.owasp.com/index.php/OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen/Allgemeine_Punkte
> 
> 
> VG, Dirk
> 
> 
> 
> 
> 
> 
> 
> SG, Dirk
> 
> 
> 
> _______________________________________________
> BSI-Webbaustein-Review mailing list
> BSI-Webbaustein-Review at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/bsi-webbaustein-review



More information about the BSI-Webbaustein-Review mailing list