Pull to refresh

Предложение по совместному созданию стандарта безопасности для Web приложений (сайтов)

Reading time 3 min
Views 2.3K
Навеяно последними событиями, связанными с проблемой конфиденциальности личных данных в Мегафон, МТБанк и так далее ну и собственно вопросом habrahabr.ru/qa/10352

В последнее время тщательно слежу за тем что происходит в интернете в плане безопасности данных и порой становится страшно, что занося какие либо данные в любой из органов, банков — твоя информация может стать доступна широкой аудитории Интернет пользователей. Более того моя текущая работа связанна с аудитом сайтов и веб систем на предмет наличия возможных уязвимостей, в первую очередь даже не программных (хотя именно это любимая часть и кландайк для злодеев) но и логических — и могу авторитетно заявить что большинство сайтов, проходящих через меня имеют критические или серьезные проблемы. А через меня проходят Web приложения крупных организаций, имена которых у всех на слуху.

Долгие вечера сидя за чашкой кофия, и разбирая и описывая очередную уязвимость на сайте я чаще ловил себя на мысли, что мир мог бы быть защищенней, безопасней, чище если бы…

… если бы разработчики были не только разработчиками, но еще и аналитиками, менеджерами по ИТ безопасности… но мир не идеален, и каждый должен заниматься тем что у него получается лучше. Может они и готовы, но им тяжело разобраться в возможных угрозах, коих с каждым днем становится больше. На них давит менеджер проекта сроками, а заказчик кричит что этот функционал они должны были видеть на прошлой неделе. Какая уж тут проверка регулярными выражениями входных данных?

Можно до бесконечности аргументировать благими намерениями свои действия, ровно так же как сочинять мотивы — анти-аргументы, а можно взять и сделать…

Итак о чем это я… а все просто — я о том что хорошо бы поиметь какой нибудь стандарт\гайдлайн\чеклист для разработчиков, организаций, которые бы могли воспользоваться им, и убедиться что их сайт как минимум не содержит банальных ошибок проектирования, обработки данных, хранения и передачи. Стандарт в моем понимании должен покрывать аспекты, связанные с непрерывной работой сайта. Так например Хостинг, DNS сервера и даже пользователи сайта — все должно быть учтено.

Кто я и что могу предложить кроме идеи?
— Я ИТшник, с более чем 10 годами опыта околоWebной тематики. Есть опыт написания Web сайтов (PHP Разработчик). Последнее время увлекся ИТ безопасностью и как результат — успешно внедренный в орагнизации ISO27001. В данный момент руковожу отделом, отвечающим за ИТ аудиты сайтов, веб систем и т.д. За плечами несколько десятков аудитов, несколько сотен «разобраных» по частям сайтов с описаниями дыр и рекомендациями.

Кого я ищу?
Людей, глубоко посвященных в ИТ безопасность, в частности её WEB часть. В идеале это человек, который разбирается в веб технологиях, ИТ безопасности, угрозах. Который имеет за плечами какой (или какие) либо сертификаты связанные с внедрением PCI DSS, ISO 27001. Возможно CISA, CISSP и располагает временем, желанием и стремлением. Важно что я не располагаю ни временем ни желанием «обучать» кого то, даже если вы полны стремления и решимости посвятить свою жизнь ИТ безопасности.

Сколько готов платить?
Ответ сразу и в лоб — нисколько и не готов. Это вопрос касающийся всех и каждого, сегодня разгласили базу банка соседа, а завтра и твою финансовую информацию. Я ищу волонтеров.

Какой может быть мой интерес?
Прямой. Я предлагаю совместное творение сообщества. Возможно из этого вырастит какая нибудь бизнес идея, например аудит на предмет соответствия сайта стандарту ХХХ-YYYY. Возможно ты будешь аудитор сайта, возможно аудит с твоей подачи станет обязательной и неотъемлемой частью стандартного процесса по поставке WEB систем в организации.

что уже существует?
Черновые наброски идей структуры документа

Каков процесс участия?
Пока я вижу его таковым: Если вы решили что вы хотите поучаствовать то
1. Создайте аккаунт в гугл, т.к. без него вы не сможете получить доступ в гугл докс.
2. Вышлите мне аккаунт (email адрес), чтоб я расшарил с вами документ. На чтение документ доступен каждому.
3. Если вы хотите что то добавить\изменить — киньте свой емейл — я дам доступ на внесение изменений в документ

Мне интересно, хочу попробовать
Здорово, тогда стучись в личку. Если у нас общие интересы — значит нам по пути

Собственно линк: docs.google.com/document/d/1sbDhyX8Reu8vgEHzhyltXH6dQYzG4lQV7Lmw2ryjsX0/edit?hl=en_US
Tags:
Hubs:
+3
Comments 5
Comments Comments 5

Articles