Sto sviluppando un'applicazione basata sul web. Voglio crearlo in modo che possa essere adottato da team all'interno di aziende e grandi organizzazioni con standard IS rigorosi.
Le organizzazioni iniziali prese di mira non si trovano in settori specificamente regolamentati, ma dovranno rispettare le normative regionali sulla protezione e l'utilizzo dei dati.
Quali sono i fattori che devo pianificare?
Per prima cosa, crea tutto ciò che puoi innestare. Loose-coupling, buona forma, tutto quel jazz che è dappertutto programmers.stackexchange.com . In questo modo se qualcuno vuole cambiare nome utente / password per l'autenticazione del dominio, puoi venderlo come una funzione facile. Allo stesso modo con la modifica della registrazione da file di testo a syslog in database.
... e questo è tutto. Tenere gli utenti non autorizzati fuori e limitare gli utenti autorizzati ai loro ruoli, registrare il comportamento e mantenere l'integrità (specifica dell'applicazione, ma in pratica fare attenzione alle modifiche irreversibili). Tutto in un audit si riduce davvero a quei comportamenti. Codice con l'idea di registrare tutto e utilizzare la configurazione per disattivare le cose che non vuoi. Creare autorizzazioni con ruoli e concentrarsi sulla logica aziendale di ciò che gli utenti potrebbero fare.
Può UserA vedere il prezzo di costo? Possono fissare prezzi di vendita? Fai un sacco di domande su di te in questo modo. Se la tua applicazione è flessibile e completa in quelle aree che ho menzionato, sarai in grado di soddisfare la maggior parte degli standard esistenti.
Penso che la domanda sia troppo generica per aspettarsi una risposta specifica. Quindi risponderò con una risposta generale. In generale OWASP è una buona fonte per la sicurezza delle applicazioni Web, specialmente per i loro Guida allo sviluppo .
La mia raccomandazione, a prescindere dall'industria e dalle norme, pensa a proteggere il tuo marchio. Indipendentemente dall'industria. Utilizzare una buona sicurezza di buon senso per la gestione dei dati. PCI e FISMA dispongono di controlli tecnici sulle applicazioni Web e, naturalmente, su OWASP. Generalmente, prima di lanciare il servizio Web e testare di nuovo prima di ogni nuovo push del codice, è necessario presentare i test delle applicazioni Web sul banco di lavoro di codifica. Anche il concetto di Web Application Firewall è importante per l'architettura di sicurezza dell'app durante la produzione. La sicurezza WhiteHat fornisce alcuni test in tempo reale dell'applicazione che funzionano insieme al firewall dell'applicazione per aggiornare qualsiasi ricerca con il concetto di "patch" virtuale.
Leggi altre domande sui tag web-application compliance