مجموعه از کنترل های امنیتی توسط مرکز امنیت اطلاعات (Center for Information Security) ارائه شده است. کنترل هجدهم از این مجموعه به موضوع امنیت سیستم های نرم افزاری پرداخته است. در ادامه این کنترل معرفی شده و آزمون های کلیدی آن بیان شده است.
معرفی کنترل
هکرها معمولا به دنبال بهره گیری از آسیب پذیری های موجود در سیستم های نرم افزاری خصوصا نرم افزارهای مبتنی بر وب هستند. آسیب پذیری های سیستم های نرم افزاری ممکن است به دلایل مختلفی از جمله اشتباه در کد، ضعف و کاستی تست های انجام شده، نیازمندی های ناقص و غیر صحیح به وجود می آیند. بخش عمده ای از حملات امنیتی از طریق سیستم های نرم افزاری شکل می گیرند. براین اساس امنیت سیستم های نرم افزاری بسیار حائز اهمیت است.
به دلیل اهمیت شناسایی و رفع آسیب پذیری های سیستم های نرم افزاری، OWSAP به عنوان یک مرجع حرفه ای بین المللی در زمینه امنیت سیستم های نرم افزاری به صورت مستمر لیست 10 تهدید امنیتی سیستم های نرم افزاری تحت وب را منتشر می کند. انتظار می رود ارزیابی ها و پایش های مستمری جهت حصول اطمینان از ایمن بودن نرم افزارهای کلیدی سازمان در رویارویی با این تهدیدها صورت گیرد. این لیست همچنین راهنمایی برای توسعه دهندگان سیستم های نرم افزاری بوده تا بتوانند در توسعه این سیستم ها، ساز و کارهای لازم جهت ایمن سازی نرم افزار را بکار گیرند.
راهکاری دیگر برای حصول اطمینان از ایمن بودن سیستم های نرم افزاری، انجام آزمون های امنیتی است. آزمون های امنیتی نرم افزار ممکن است براساس استانداردهای مختلفی انجام شود یکی از استانداردهای متداول برای انجام آزمون های امنیتی، استاندارد آزمون امنیتی OWSAP است. در این استاندارد، آزمون های امنیتی در سه سطح مختلف قابل انجام هستند. این سطوح با توجه به حساسیت نرم افزار و اطلاعاتی که توسط آن نگهداری می شود، تعیین می گردند. سطح اول امنیتی برای تمامی نرم افزارها قابل انجام است. این سطح مشتمل بر الزامات عمومی امنیتی می باشند. سطوح دوم به نرم افزارهایی مرتبط می باشد که مشتمل بر داده های حساس بوده و نیازمند محافظت هستند. سطح سوم نرم افزارهایی را در بر می گیرد که بسیار کلیدی هستند. این نرم افزار تراکنش های بسیار با ارزش را مدیریت می کنند. در هریک از این سطوح، مجموعه ای از الزامات امنیتی تعریف شده است که انتظار می رود این الزامات توسط نرم افزار رعایت شده باشد. استاندارد آزمون امنیتی OWSAP توسط مرکز آپا دانشگاه فردوسی مشهد به زبان فارسی ترجمه شده و از طریق این لینک قابل دریافت می باشد.
آزمون های کنترل
- آیا دستورالعمل های لازم برای توسعه ایمن سیستم های نرم افزاری به صورت درون سازمانی تدوین شده است؟
- آیا توسعه دهندگان سیستم های نرم افزاری، دانش و مهارت های لازم را برای ایمن سازی نرم افزارها کسب نموده اند؟
- آیا نرم افزارهای توسعه یافته درون سازمان و نرم افزارهای بیرونی، آزمون های امنیتی را گذرانیده اند؟ آیا گواهینامه های مربوطه را دریافت کرده اند؟
- آیا وصله های امنیتی نرم افزارهای برون سازمانی به موقع دریافت و نصب می شوند؟