MegafonやMTBankなどの個人データの機密性の問題に関連する最新のイベント、および実際には質問habrahabr.ru/qa/10352に触発された
最近、私はデータセキュリティの観点からインターネットで起こっていることを注意深く追跡しており、当局、銀行のいずれかにデータを入力することは時々怖くなります-あなたの情報はインターネットユーザーの幅広い聴衆に利用可能になるかもしれません。 さらに、私の現在の仕事は、潜在的な脆弱性のサイトとWebシステムの監査に関連しています。主にソフトウェアの脆弱性(悪役にとっては好きな部分とクランIDです)だけでなく、論理的な脆弱性もあります。重大または深刻な問題がある。 そして、私の名前は誰にでもよく知られている大規模な組織のWebアプリケーションです。
長い夜、コーヒーを飲みながら、サイトの別の脆弱性を分析して説明するために、私はしばしば、世界がより安全で、安全で、よりきれいになり得ると考えていました...
...開発者が開発者だけでなく、アナリスト、ITセキュリティマネージャーでもあった場合...しかし、世界は完璧ではなく、誰もが彼ができることをすべきです。 準備はできているかもしれませんが、考えられる脅威を理解することは難しく、その脅威は日々増えています。 プロジェクトマネージャーはしばらくの間それらを押し付け、顧客は先週この機能を見るべきだったと叫びます。 入力はどのような正規表現テストですか?
動機を構成するのと同じように、善意で行動を無限に議論することができます-反論、しかしあなたは取ることができます...
だから私は何を話しているのですか...そしてそれは簡単です-開発者、それを使用できる組織のために何らかの標準\ガイドライン/チェックリストを用意し、サイトに少なくとも平凡なデザイン、データ処理エラーが含まれていないことを確認するのは良いことですストレージと転送。 私が理解している標準は、サイトの継続的な運用に関連する側面をカバーするはずです。 したがって、たとえば、ホスティング、DNSサーバー、さらにはサイトユーザーなど、すべてを考慮する必要があります。
私は誰で、アイデア以外に何を提供できますか?
-私はITスペシャリストで、Webトピックに関する10年以上の経験があります。 Webサイトの作成経験がある(PHP開発者)。 最近、私はITセキュリティに興味を持ち、その結果、組織ISO27001での実装に成功しました。 現時点では、サイト、WebシステムなどのIT監査を担当する部門を担当しています。 数十の監査の後ろに、穴の説明と推奨事項を含むサイトの数百の「分解された」部分。
誰を探していますか?
ITセキュリティ、特にそのWEB部分に深く専念している人々。 理想的には、これはWebテクノロジー、ITセキュリティ、脅威を理解している人です。 これは、PCI DSS、ISO 27001の実装に関連する証明書(または任意の証明書)を持っています。CISA、CISSPは可能であり、時間、要望、および願望があります。 ITセキュリティに自分の人生を捧げる意欲と決意に満ちていても、誰かを「教育」する時間や欲求がないことが重要です。
いくら支払いますか?
すぐに、額の答えはまったく準備ができていません。 これは誰もが懸念する質問です。今日、彼らは隣人の銀行の基盤を明らかにし、明日はあなたの財務情報を明らかにしました。 ボランティアを探しています。
私の興味は何ですか?
直接。 共同コミュニティの作成をお勧めします。 たとえば、サイトが標準のXXX-YYYYを満たしているかどうかを判断する監査など、いくつかのビジネスアイデアがこれから生まれます。 おそらく、あなたはサイト監査人になるでしょう。おそらく、あなたの提出物からの監査は、組織内のWEBシステムの供給のための標準プロセスの必須かつ不可欠な部分になるでしょう。
すでに何がありますか?
ドキュメント構造のアイデアの大まかな概要
参加プロセスとは何ですか?
私はそれをそう見ていますが:もしあなたが参加したいと決めたら
1. Googleでアカウントを作成します。 これがないと、Google Doxにアクセスできません。
2.アカウント(メールアドレス)を送信して、ドキュメントを共有します。 ドキュメントを読むために、誰でも利用できます。
3.何かを追加/変更する場合-メールをドロップする-ドキュメントに変更を加えるためのアクセス権を付与します
私は興味があり、試してみたい
それでは、PMをノックしてください。 共通の利益がある場合、それは私たちが途中であることを意味します
リンク自体: docs.google.com/document/d/1sbDhyX8Reu8vgEHzhyltXH6dQYzG4lQV7Lmw2ryjsX0/edit?hl=en_US
Webアプリケーション(サイト)のセキュリティ標準の共同作成の提案
All Articles