понедельник, 6 января 2020 г.

Австрийский стандарт ÖNORM A 7700 требований по безопасности к веб-приложениям – Версия 2019 года с расширенной областью применения


Я уже рассказывала о новой редакции австрийского стандарта требований по безопасности к веб-приложениям ÖNORM A 7700, см. http://rusrim.blogspot.com/2019/05/onorm-7700.html . Сегодня я предлагаю вниманию читателей статью на ту же тему Томаса Кербла (Thomas Kerbl – на фото) из австрийской компании SEC Consult Unternehmensberatung GmbH, которая была опубликована на сайте компании 27 ноября 2019 года.

Являясь председателем рабочей группы AG001.77 австрийского органа по стандартизации ÖNORM, Томас Кербл на протяжении последних двух лет имел возможность следить за ходом процесса разработки стандарта от начала до конца. Более дюжины экспертов по вопросам безопасности активно участвовали в работе группы, принеся в неё свои конкретные знания в соответствующих областях.

Предыдущая версия стандарта (ÖNORM A 7700:2008, Informationsverarbeitung - Sicherheitstechnische Anforderungen an Webapplikationen, см. https://shop.austrian-standards.at/action/de/public/details/318145/OENORM_A_7700_2008_12_01 )  была опубликована в декабре 2008 года и, учитывая высокие темпы развития ИТ, уже несколько устарела. В рамках необходимого обновления содержания стандарта мы также решили расширить сферу его применения. Предыдущая версия была сосредоточена исключительно на технических аспектах безопасности веб-приложений и не включала базовых требований в отношении безопасного оперативного использования. Также в предыдущей версии не рассматривалась вопросы, связанные с защитой персональных данных.

Теперь эти вопросы добавлены в новую версию ÖNORM A 7700:2019 «Обработка информации - Требования по безопасности для веб-приложений» (Informationsverarbeitung - Sicherheitstechnische Anforderungen an Webapplikationen). Это сделало необходимым разделить ранее единый документ на ряд частей.

Стандарт ÖNORM A 7700 был разделён на четыре части, чтобы четко разграничить отдельные темы. В первой части определена основная терминология, а в частях со второй по четвёртую - описаны технические требования:
  • ÖNORM A 7700-1: «Определения» (Begriffsbestimmungen);

  • ÖNORM A 7700-2: «Требования по защите персональных данных» (Anforderungen durch Datenschutz);

  • ÖNORM A 7700-3: «Требования по безопасности» (Sicherheitstechnische Anforderungen);

  • ÖNORM A 7700-4: «Требования к безопасной эксплуатации» (Anforderungen an den sicheren Betrieb).
Направленность и задачи такого документа, как стандарт, четко определены национальным органом по стандартизации. В качестве документа, устанавливающего требования, определяющие текущую практику, стандарт ÖNORM A 7700 должен предписывать, что делать, а не как это делать. В результате в стандартах данной серии отсутствуют какие-либо указания, связанные с конкретными технологиями, и сформулированы высокоуровневые общие требования, на способы реализации которые не накладывается каких-либо ограничений. Если Вам нужны технически-нейтральные требования, Вы найдете их в данном стандарте!

Требования к веб-приложениям по защите персональных данных

Уже через год после публикации нового европейского законодательства о защите персональных данных - «Общих правил защиты персональных данных» (General Data Protection Regulation, GDPR, см. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN ), появилась потребность в конкретных рекомендациях по вопросам исполнения требований GDPR. С точки зрения защиты персональных данных веб-приложениями, мы стремимся сформулировать соответствующие основные правила.

В результате этих усилий появился стандарт ÖNORM A 7700-2. Наша цель заключалась в том, чтобы определить требования к защите персональных данных, которые бы не были неоправданно избыточными в сравнении с GDPR. Стандарт учитывает конкретные потребности разработчиков, которым необходимо знать требования по защите персональных данных при разработке и внедрении веб-приложений, а также дает перекрестные ссылки на GDPR.

Хотя в центре внимания стандарта, по понятным причинам, находятся на веб-приложения, которые собирают персональные данные, он также включает рекомендации и для тех веб-приложений, которые этого не делают. В частности, рассмотрены вопросы идентификации и отслеживания пользователей, даже если никакие персональные данные явным образом не собираются.

Помимо обязательных требований, стандарт ÖNORM A 7700-2 также предлагает необязательные рекомендации на основе примеров (например, предоставление уведомлений). Следует отметить, что безопасность персональных данных в значительной степени зависит от устойчивости приложения и базовой инфраструктуры к атакам. В этой связи в ÖNORM A 7700-2 прямо сказано, что для соответствия требованиям данной части стандарта также необходимо соответствовать требованиям ÖNORM A 7700-3 и ÖNORM A 7700-4.

Обновление и расширение технических требований по безопасности для веб-приложений

Те, кто уже знаком с предыдущей редакцией стандарта ÖNORM A 7700: 2008, воспримут новую редакцию требований по безопасности ÖNORM A 7700-3: 2019 как её обновление и расширение. Сохранены все ранее существовавшие темы, и, кроме того, в документ были включены новые важные вопросы.

Рассмотрен вектор атак типа «подделка http-запросов» (CSRF, также известный как «угон сеанса» - session riding), о котором ранее явно не говорилось. Ранее это было проблемой, поскольку атака на межсайтовые запросы (Cross Site Request Forgery, CSRF) является распространенной проблемой для веб-приложений. Новая версия стандарта закрывает этот пробел.

Другие улучшения включают в себя защиту от кликджекинга (согласно Википедии, это механизм обмана пользователей интернета, при котором злоумышленник может получить доступ к конфиденциальной информации или даже получить доступ к компьютеру пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу, см. https://ru.wikipedia.org/wiki/Кликджекинг - Н.Х.) , защиту от небезопасной сериализации и десериализации, а также требования к протоколированию специальных событий безопасности.

Тем, кто использует ÖNORM A 7700 в качестве основы для технических требований в процессе закупок, могут понравиться новыми требованиями к документации – эта та область, которой поставщики часто пренебрегают.

Требования к обеспечению безопасной работы веб-приложений

Ранее область применения стандарта ÖNORM A 7700 была ограничена собственно веб-приложением. С появлением ÖNORM A 7700-4:2019 область применения была расширена, охватив обеспечение безопасной работы веб-приложений.

В ходе процесса работы над стандартом было особенно сложно определить, какие аспекты следует включить в него, а какие лучше решать посредством других стандартов и руководств. Простое повторении требований таких стандартов систем менеджмента. как ISO/IEC 27002:2013 «Информационные технологии – Методы обеспечения безопасности – Свод хорошей практики использования мер и средств обеспечения информационной безопасности» (Information technology - Security techniques - Code of practice for information security controls, см. https://www.iso.org/standard/54533.html и https://www.iso.org/obp/ui/#!iso:std:54533:en , в России адаптирован как ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», http://protect.gost.ru/v.aspx?control=8&id=176022 Н.Х.), не имело бы смысла. По этой причине наличие в организации системы менеджмента информационной безопасности сделано основным требованием при обеспечении соответствия стандарту ÖNORM A 7700-4. На это опираются все остальные требования, такие как следующие:
  • Соблюдение принципа минимизации,

  • Выбор и поддержка языков программирования, платформ и других компонентов,

  • Безопасная конфигурация и укрепление системы,

  • Безопасное администрирование,

  • Защита данных во время передачи и хранения,

  • Настройка HTTP-заголовков для безопасности (HTTP Security Header),

  • Протоколирование.
Как уже было сказано, это общие требования, которые определяют, что делать, а не как это делать. В стандарте отсутствуют какие-либо указания, связанные с конкретными технологиями. Если требуется всесторонний список общих требований в качестве отправной точки для процесса разработки требований или в качестве обязательных спецификаций для поставщиков, то ÖNORM A 7700-4:2019 как раз является подходящим документом. Чтобы сделать данный документ еще более практичным, мы дали ссылки на более детальные руководства, такие как «Критерии Центра интернет-безопасности CIS»  (CIS Benchmarks, см. https://www.cisecurity.org/cis-benchmarks/ ) и технические руководства американского Национального института стандартов и технологий NIST и немецкого Федерального управления по безопасности информационных технологий (Bundesamt für Sicherheit in der Informationstechnik, BSI).

Прекращается сертификация на соответствие ÖNORM A 7700

Одно важное изменение связано с использованием нового ÖNORM A 7700:2019. Австрийский национальный орган по стандартизации решил не проводить сертификацию на соответствие новой версии. Поскольку старая версия стандарта полностью заменена новой, это означает, что больше не будет возможности получить новый сертификат соответствия австрийскому стандарту ÖNORM A 7700. Если вы являетесь счастливым обладателем действующего сертификата ÖNORM A 7700, берегите его - он может стать редкостью, представляющей интерес для коллекционеров :) !

Томас Кербл (Thomas Kerbl)

Источник: сайт компании SEC Consult Unternehmensberatung GmbH
https://sec-consult.com/blog/2019/11/oenorm-a-7700-version-2019-mit-neuem-scope/ 

Комментариев нет:

Отправка комментария