Fejlesztésbiztonsági követelménydokumentáció

A kiberbiztonság nem az auditnál kezdődik

A legsúlyosabb biztonsági sérülékenységek jelentős része már a tervezés, a fejlesztés vagy az üzembe helyezés során bekerül a rendszerekbe. Egy hibás jogosultságkezelés, nem megfelelő naplózás, hiányzó bemenet-ellenőrzés vagy egy sérülékeny külső komponens éveken keresztül észrevétlenül jelen lehet egy alkalmazásban.

A Kiberbiztonsági törvény és a 7/2024. (VI. 24.) MK rendelet ezért kiemelt figyelmet fordít a fejlesztésbiztonságra. A jogszabály már nem csupán az üzemeltetett rendszerek biztonságát vizsgálja, hanem azt is, hogy a szervezet milyen folyamatok mentén tervezi, fejleszti, teszteli, vezeti be és üzemelteti az elektronikus információs rendszereit.

A fejlesztésbiztonsági követelmények értelmezése és gyakorlati alkalmazása sok szervezet számára komoly kihívást jelent. Nem egyértelmű, hogy milyen elvárásokat kell teljesíteni, milyen dokumentációt várhatnak el az auditorok, milyen biztonsági teszteket kell végrehajtani, vagy hogyan kell kezelni a külső fejlesztőket és beszállítókat.

A MISec által összeállított fejlesztésbiztonsági követelménydokumentáció célja, hogy a jogszabályi követelményeket gyakorlati, végrehajtható és auditálható formában foglalja össze. Az anyag segítséget nyújt a fejlesztési életciklus biztonsági követelményeinek kialakításában, a fejlesztők és üzemeltetők feladatainak meghatározásában, valamint az auditokra történő felkészülésben.

A dokumentáció főbb területei

Biztonságos fejlesztési életciklus (SSDLC)
Biztonsági követelmények kezelése
Forráskód-védelem
Verzió- és változáskezelés
Nyílt forráskódú komponensek kezelése
Külső fejlesztők és beszállítók követelményei
Sérülékenységkezelés
Biztonsági tesztelés
Üzembe helyezési követelmények
Naplózási és jogosultságkezelési elvárások
Kriptográfiai követelmények
OWASP alapú alkalmazásbiztonsági követelmények

Mire épül?

A követelménydokumentáció kialakítása során figyelembe vettük:

a 7/2024. (VI. 24.) MK rendelet fejlesztésbiztonsági követelményeit;
az OWASP ASVS ajánlásait;
az OWASP Top 10 követelményeit;
az OWASP MASVS mobilalkalmazás-biztonsági ajánlásait;
a NIST SP 800-115 biztonsági tesztelési útmutatóját;
a biztonságos fejlesztési életciklus nemzetközi gyakorlatait.

Gyakorlati tapasztalatokra építve

A dokumentáció nem egyszerű jogszabályi kivonat vagy sablongyűjtemény. Az anyag valós auditfelkészítési projektek, fejlesztésbiztonsági feladatok és gyakorlati tapasztalatok alapján készült, kifejezetten azzal a céllal, hogy a jogszabályi követelményekből egy végrehajtható, auditálható és a gyakorlatban is alkalmazható követelményrendszer jöjjön létre.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.