Vorlage für Web-Security-Standard (TSS-WEB)
Unternehmensweite Standards in Bezug auf die Sicherheit von Webanwendungen fehlen in vielen Unternehmen. Coding Guidelines sind hierfür genauso unzureichend wie Verweise auf externe Dokumente im Web. Stattdessen ist hier ein implementierungsunabhängiger Sicherheitsstandard erforderlich, der die vorhandenen Richtlinien auf diesen Bereich abbildet, ausgestaltet und von dem wiederum konkrete, implementierungs-spezifische, Coding Guidelines abgeleitet werden können. Dadurch ist ein konsistentes Policy-Framework von der Leitlinie für Informationssicherheit hinunter bis zu konkreten Entwickler-Guidelines gewährleistet.
Mit TSS-WEB wollen wir Unternehmen eine Vorlage für einen technisch-organisatorischen Sicherheitsstandard für Webanwendungen kostenfrei an die Hand geben. Diese wurde als Ergänzung für das Buch Sicherheit von Webanwendungen in der Praxis von Matthias Rohr entwickelt, welches Anfang 2015 im Springer Verlag erschienen ist. Auf das Buch lässt sich daher auch zum Nachschlagen bestimmter Vorgaben zurückgreifen.
Das Dokument ist lizenziert unter der Creative Commons Namensnennung 4.0 International Lizenz.
Es darf kostenfrei verwendet und den eigenen Bedürfnissen beliebig anpasst werden bzw. natürlich auch um eigene Inhalte ergänzt werden. Geänderte Dokumente müssen nicht unter dieselbe Lizenz gestellt werden (kein Copyleft bzw. Share Alike) sondern lediglich die verwendete Vorlag kenntlich machen.
Wer neben Webapplikationen auch andere Anwendungen entwickelt oder betreibt, für den kann es sinnvoll sein, aus den Implementierungsvorgaben einen technischen Standard für Webanwendungen zu machen und den Rest in einem übergreifenden Sicherheitsstandard für Anwendungen zu spezifizieren.
Anmerkungen und Fragen bitte in TSS-WEB Google Group posten oder direkt per Mail an tss-web@googlegroups.com senden.