Compliance as Code - tools (free)
Небольшая подборка инструментов по "Compliance left" и обеспечение соответствия как непрерывный процесс
Chef InSpec - это бесплатный фреймворк с открытым исходным кодом для тестирования и аудита приложений и инфраструктуры. Вебинар про возможности InSpec
Compliance Masonry - позволяет пользователям создавать сертификационную документацию с использованием схемы OpenControl. Полезно, если вы собираетесь проходить PCI DSS, например.
OpenSCAP - проект при поддержке Red Hat. Инструменты OpenSCAP совместно с Scap Security Guide можно использовать для автоматического аудита системы и проверки соответствия. Вот как это работает на примере с HIPPA
#tools #compliance #dev #ops
Небольшая подборка инструментов по "Compliance left" и обеспечение соответствия как непрерывный процесс
Chef InSpec - это бесплатный фреймворк с открытым исходным кодом для тестирования и аудита приложений и инфраструктуры. Вебинар про возможности InSpec
Compliance Masonry - позволяет пользователям создавать сертификационную документацию с использованием схемы OpenControl. Полезно, если вы собираетесь проходить PCI DSS, например.
OpenSCAP - проект при поддержке Red Hat. Инструменты OpenSCAP совместно с Scap Security Guide можно использовать для автоматического аудита системы и проверки соответствия. Вот как это работает на примере с HIPPA
#tools #compliance #dev #ops
Обеспечение соответствия и ведение политик (BSIMM - Governance, Compliance & Policy)
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо внутренние требования заказчика - о том, что из себя представляет политика безопасности, об уровне обслуживания (SLA) подрядчиков и важности постоянного изменения политики на основе фидбека из SDLC.
Друзья, пишите мне в личку, насколько вам интересно и полезно читать такой перевод, стоит ли идти по переводу последовательно, либо отбирать самое интересное (например то, что касается анализа архитектуры, code review, тестирования).
https://github.com/dvyakimov/BSIMM_ru
#bsimm #compliance #dev #ops
Подготовил вторую часть перевода из блока Управления (Governance) фреймворка BSIMM. На этот раз лучшие практики обеспечения соотвтетствия, будь это PCI DSS, HIPPA, либо внутренние требования заказчика - о том, что из себя представляет политика безопасности, об уровне обслуживания (SLA) подрядчиков и важности постоянного изменения политики на основе фидбека из SDLC.
Друзья, пишите мне в личку, насколько вам интересно и полезно читать такой перевод, стоит ли идти по переводу последовательно, либо отбирать самое интересное (например то, что касается анализа архитектуры, code review, тестирования).
https://github.com/dvyakimov/BSIMM_ru
#bsimm #compliance #dev #ops
GitHub
GitHub - dvyakimov/BSIMM_ru: Перевод BSIMM (https://www.bsimm.com) на русский язык
Перевод BSIMM (https://www.bsimm.com) на русский язык - dvyakimov/BSIMM_ru
DoD_Enterprise_DevSecOps_Reference_Design_v1_0_Public_Release.pdf
2.5 MB
DoD Enterprise DevSecOps
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice #dev #ops
Питер Рэнкс, заместитель ИТ-директора Министерства обороны по ИТ-предприятиям, сообщил, что DOD планирует представить сопроводительный документ к своему документу "DoD Enterprise DevSecOps
Reference Design," в котором будет изложено все - от концепций до инструментов, необходимых для выполнения современных практик разработки программного обеспечения.
С первой версией документа можете познакомиться во вложении.
#compliance #bestpractice #dev #ops
OWASP ASVS - Application Security Verification Standard
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
OWASP ASVS - открытый стандарт безопасности веб-приложений. Документ обеспечивает основу для проектирования, разработки и тестирования безопасности приложения, определяя требования для аутентификации, управления сессиями и доступом, защиты данных, коммуникации и так далее. Применимо ли требование или нет, зависит от уровня критичности приложения (всего их 3)
В фотографии прикрепил перечень open-source инструментов из книги Hands-On Security in DevOps, которые также могут помочь закрыть каждое из требований.
Последняя версия стандарта
#compliance #bestpractice #web #dev
OWASP Software Component Verification Standard (SCVS)
SCVS - новый стандарт OWASP, направленый на определение и снижение рисков, связанных с цепочками поставок ПО. Риском, связанным с цепочкой поставок, является использование уязвимого open-source компонента в процессе разработки, нарушение целостности имеющихся пакетов в репозитории, нарушение лицензионных соглашений. Среди лучших практик SCVS - использование Software Composition Analysis, пакетных менеджеров, усиленных настроек к пайплайну сборки и другое.
#compliance #sca #dev
SCVS - новый стандарт OWASP, направленый на определение и снижение рисков, связанных с цепочками поставок ПО. Риском, связанным с цепочкой поставок, является использование уязвимого open-source компонента в процессе разработки, нарушение целостности имеющихся пакетов в репозитории, нарушение лицензионных соглашений. Среди лучших практик SCVS - использование Software Composition Analysis, пакетных менеджеров, усиленных настроек к пайплайну сборки и другое.
#compliance #sca #dev
Using SAFe to align cyber security and executive goals in an agile setting
Scaled Agile Framework® (SAFe®) - фреймворк, предназначенный для поддержания Agile-методологии внутри организации. В конце того года вышла 5-ая версия, в рамках которой безопасность считается non-functional requirment, то есть то, что относится к качеству.
В статье от F-Secure раскрывается то, как определить уровень безопасности на основе рисков, применимо к Agile, как оценить эти риски и как подтвердить проделанную работу для демонстрации соответствия нормативным требованиям. Основной упор в статье идет на встраивание моделирования угроз в SAFe.
https://www.f-secure.com/en/consulting/our-thinking/using-safe-to-align-cyber-security-and-executive-goals
#compliance #dev #ops
Scaled Agile Framework® (SAFe®) - фреймворк, предназначенный для поддержания Agile-методологии внутри организации. В конце того года вышла 5-ая версия, в рамках которой безопасность считается non-functional requirment, то есть то, что относится к качеству.
В статье от F-Secure раскрывается то, как определить уровень безопасности на основе рисков, применимо к Agile, как оценить эти риски и как подтвердить проделанную работу для демонстрации соответствия нормативным требованиям. Основной упор в статье идет на встраивание моделирования угроз в SAFe.
https://www.f-secure.com/en/consulting/our-thinking/using-safe-to-align-cyber-security-and-executive-goals
#compliance #dev #ops
Secure Development Guidelines
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev
Так как среди подписчиков не только люди из DevOps, но и из AppSec, решил сделать небольшую подборку гайдлайнов по secure coding, помимо уже упоминаемых ранее ASVS, MASVS.
- Coding Standars by CERT - набор стандартов по безопасному написанию кода для C, C++, Java и
Adnroid.
- Secure Coding Guidelines by Mozilla - гайдлайн по безопасной разработке веб-приложений
- Secure Coding Practices Quick Reference Guide by OWASP -очень полезный чек-лист с ссылками на пункты в известных стандартах, которые могут помочь закрыть то или иное требование (SP800, SAMM, MSSDL, NIST и так далее)
- Proactive Controls by OWASP - список из 10 основных элементов управления OWASP, которые должны быть реализованы в каждом проекте
#compliance #bestpractice #dev
Безопасная разработка - российские стандарты.
Когда-то давно я описывал резюме совещания во ФСТЭК касательно обсуждения безопасной разработки. Вчера пообщался с опытным человеком, который успел в этих документах повариться. Подборка от него по российскому compliance и не только.
"ГОСТ 56939 Разработка безопасного ПО. Общие требования." - фактически главный документ сейчас по SDL в России. Здесь общая структура процесса, приседаний вокруг продукта и документации.
"ГОСТ 58412 Разработка безопасного ПО. Угрозы безопасности информации при разработке ПО" С него в идеале должна строиться модель угроз продукта, но документ имхо не очень удачный. Обычно все пользуются STRIDE от майкрософта.
Бесплатный учебный курс по STRIDE от Майкрософта на русском языке.
Утилита, по которой выполняется верхнеуровневое описание угроз по STRIDE'у.
Проект стандарта "Руководство по реализации мер по разработке безопасного программного обеспечения". Он доступен на сайте ФСТЭКа. Этот документ служит неким шаблоном для разработки инструкций по SDL.
Для того, чтобы в организации засчитали SDL, в ней должны быть поставлены ИБ процессы по ГОСТ Р ИСО МЭК 27001 Мэнеджмент ИБ. Это линейка стандартов, она также включает в себя ISO IEC 27034.
#compliance
Когда-то давно я описывал резюме совещания во ФСТЭК касательно обсуждения безопасной разработки. Вчера пообщался с опытным человеком, который успел в этих документах повариться. Подборка от него по российскому compliance и не только.
"ГОСТ 56939 Разработка безопасного ПО. Общие требования." - фактически главный документ сейчас по SDL в России. Здесь общая структура процесса, приседаний вокруг продукта и документации.
"ГОСТ 58412 Разработка безопасного ПО. Угрозы безопасности информации при разработке ПО" С него в идеале должна строиться модель угроз продукта, но документ имхо не очень удачный. Обычно все пользуются STRIDE от майкрософта.
Бесплатный учебный курс по STRIDE от Майкрософта на русском языке.
Утилита, по которой выполняется верхнеуровневое описание угроз по STRIDE'у.
Проект стандарта "Руководство по реализации мер по разработке безопасного программного обеспечения". Он доступен на сайте ФСТЭКа. Этот документ служит неким шаблоном для разработки инструкций по SDL.
Для того, чтобы в организации засчитали SDL, в ней должны быть поставлены ИБ процессы по ГОСТ Р ИСО МЭК 27001 Мэнеджмент ИБ. Это линейка стандартов, она также включает в себя ISO IEC 27034.
#compliance
Telegram
DevSecOps Wine
Про стандарты безопасной разработки ФСТЭК
01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки
Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.
Обсуждался проект стандарта "Руководство по безопасной…
01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки
Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.
Обсуждался проект стандарта "Руководство по безопасной…
Доклад Security Compliance & DevOps
Вот также полезный доклад от Степана Носова по опыту сертификации компании по требованиям ISO 27001, а так же о том, как DevOps и ИБ могут в этом помочь друг другу.
https://youtu.be/BtFeWnR1xXE
#compliance
Вот также полезный доклад от Степана Носова по опыту сертификации компании по требованиям ISO 27001, а так же о том, как DevOps и ИБ могут в этом помочь друг другу.
https://youtu.be/BtFeWnR1xXE
#compliance
YouTube
Security Compliance & DevOps // Степан Носов, IPONWEB
"Security Compliance & DevOps", Степан Носов (IPONWEB)
Рано или поздно уютную тишину вашего оупенспейса нарушит человек, которого в компании кратко именуют "безопасник".
Он будет говорить что-то про Комплаенс, ISO 27001, assurance, риски и то, что вы должны…
Рано или поздно уютную тишину вашего оупенспейса нарушит человек, которого в компании кратко именуют "безопасник".
Он будет говорить что-то про Комплаенс, ISO 27001, assurance, риски и то, что вы должны…
UPD от @Yorik2016
25 сентября 2020 г. вступил в силу приказ, определяющий требования к ПО, которые применяются для защиты КИИ. В частности, статический и динамический анализы, а также фаззинг-тестирование будут являться обязательными процессами.
P.S. Для тех, кому стало интересно разобраться в базовой нормативке ИБ, я когда-то делал огромный майнд-мап.
#compliance
25 сентября 2020 г. вступил в силу приказ, определяющий требования к ПО, которые применяются для защиты КИИ. В частности, статический и динамический анализы, а также фаззинг-тестирование будут являться обязательными процессами.
P.S. Для тех, кому стало интересно разобраться в базовой нормативке ИБ, я когда-то делал огромный майнд-мап.
#compliance