ISACA выпустила новый документ по безопасности Web-приложений «Web Application Security: Business and Risk Considerations«. Как и многие другие документы ISACA этот на достаточно высоком уровне описывает риски и уязвимости Web-приложений, а также включает рекомендации по выстраиванию процесса защиты (включая этап создания кода) Web-приложений:
- поддержка руководства
- тренинги
- политики и стандарты
- технические меры
- непрерывная программа сканирования кода
- особенности работы с унаследованным кодом
- управление проектом
- управление инцидентами.
В целом документ достоен изучения; особенно тем, кто занимается разработкой собственных или заказных Web-приложений.
ЗЫ. К слову сказать, многие из этих рекомендаций (может быть не так систематизированных и привязанных к COBIT) я встречал у нас в Cisco, в политике разработки Web-приложений.
