[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Wojciech Dworakowski Wojciech.Dworakowski at securing.pl
Mon May 17 06:07:43 EDT 2010


Obiektywne kryteria oceny, o których jest mowa w tym wątku jak najbardziej się przydadzą. Zanim jednak rzucimy się w wir dyskusji proponuję ustalić po co / dla kogo / do jakich zastosowań, ma być to opracowanie?
- Dla dziennikarzy żeby umieli bardziej obiektywnie spojrzeć na sprawę?
- Dla bezpieczników w bankach - żeby mieli ściągę jakie cechy należy uwzględnić?
- Dla managerów w bankach - j.w. i żeby łatwiej się im dyskutowało z bezpiecznikami?
- Dla jednych i drugich - żeby mogli lepiej rozpisać kryteria przy wyborze firmy testującej bezpieczeństwo (a co za tym idzie porównać oferty)?
- Dla firm testujących bezpieczeństwo - żeby nie omineli czegoś istotnego i żeby ich praca była rozliczalna?
...itd

Moim zdaniem nie jest konieczne robienie wszystkiego od zera. Na sensowne opracowanie tego typu co prawda sie nie natknąłem ale przecież bankowość internetowa to specyficzna aplikacja webowa a kryteria, wytyczne itd dotyczące bezpieczeństwa aplikacji webowych są dość dobrze rozpisane.
Poddaję pod dyskusję pomysł żeby nie pisać opracowania do zera ale żeby uzupełnić o specyfikę bankowości internetowych któryś z dokumentów OWASP:
- ASVS - jeśli chcemy mieć zbiór kryteriów do oceny
- Testing gudie - jeśli chcemy mieć zbiór wskazówek i pomysłów

Rok temu na OWASP Europe rozmawiałem z Dave Wichersem (jeden z autorów ASVS) na temat rozszerzania o moduły dotyczące specyficznych typów aplikacji (na przykładzie właśnie bankowości) i uznał to za dobry pomysł.

Pozdrawiam
wd


More information about the Owasp-poland mailing list