Qual è lo standard minimo di sicurezza necessario per questo tipo di prodotto software

3

Le azioni descritte negli standard di sicurezza (come ISO 27002, PCI-DSS, HIPAA, Common Criteria) variano in base ai dati del dominio che memorizzano, elaborano, trasmettono e riportano.

Abbiamo un prodotto che raccoglie le metriche da luminari abilitati alla rete / wifi (dispositivo di illuminazione) e crea dati di analisi per analisi di tendenza o calcoli di efficienza energetica. Qual è lo standard di sicurezza minimo che il prodotto deve soddisfare? Ha un modulo di rilevamento dei dispositivi, aggregazione dei dati e un'applicazione web di segnalazione ospitata nel cloud e i dati passano dalla piattaforma enterprise a quella cloud.

Sto pensando almeno a OWASP 10, ma poi le sue linee guida piuttosto non standard sui controlli di sicurezza per l'applicazione web.

    
posta user134083 21.12.2016 - 15:14
fonte

1 risposta

1

What is the minimal security standard that the product needs to meet?

Ciò dipende in gran parte dai requisiti di approvvigionamento che stai cercando di soddisfare. Per il governo federale degli Stati Uniti il minimo indispensabile per entrare nell'elenco è la certificazione FIPS 140-2 del modulo crittografico. Per DoD esiste la certificazione JITC. Per NSA e simili hai NIAP e Common Criteria. Tuttavia, non penso che tu stia provando a fare nulla di tutto ciò.

Invece, penso che tu stia cercando di stabilire un punto di riferimento per il minimo sforzo necessario per proteggere il tuo prodotto. Per fare questo, ti suggerisco di applicare regolarmente patch a tutte le librerie di terze parti che utilizzi (ad esempio OpenSSL), quindi eseguire uno scanner di vulnerabilità, come Nessus, e seguire uno strumento di analisi del codice statico, come Coverity, applicabile alla tua lingua. Questo approccio ti porterà a "sicurezza minima" se lo integrerai nel tuo processo di QA.

    
risposta data 21.12.2016 - 15:58
fonte

Leggi altre domande sui tag