このタイプのソフトウェア製品に必要な最小限のセキュリティ標準は何ですか
セキュリティ基準(ISO 27002、PCI-DSS、HIPAA、Common Criteriaなど)に記載されているアクションは、保存、処理、送信、および報告するドメインデータによって大きく異なります。
ネットワーク/ Wi-Fi対応の照明器具(照明デバイス)からメトリックを収集し、傾向分析またはエネルギー効率計算のための分析データを作成する製品があります。製品が満たす必要のある最小限のセキュリティ基準は何ですか?クラウドでホストされているデバイス検出モジュール、データ集約、レポートWebアプリがあり、データはエンタープライズからクラウドプラットフォームに移動します。
私は少なくともOWASP10を考えていますが、それはWebアプリケーションのセキュリティ制御の標準ではなくガイドラインです。
製品が満たす必要のある最小限のセキュリティ基準は何ですか?
これは、満たそうとしている調達要件に大きく依存します。米国連邦政府の場合、リストに載るのに最低限必要なのは、暗号化モジュールのFIPS 140-2認定です。DoDの場合はJITC認定です。NSAそのようなあなたはNIAPとコモンクライテリアを持っています。しかし、私はあなたがこれをやろうとしているとは思いません。
代わりに、製品を保護するための最低限の努力のベンチマークを確立しようとしていると思います。これを行うには、使用するすべてのサードパーティライブラリ(OpenSSLなど)に定期的にパッチを適用してから、Nessusなどの脆弱性スキャナーを実行し、言語に適用できるCoverityなどの静的コード分析ツールでフォローアップすることをお勧めします。このアプローチをQAプロセスに統合すると、「最小限のセキュリティ」が得られます。