Information Security Training – Sichere Softwareentwicklung
Sicherheitsmanagement von Softwareanwendungen (SDLC) nach ISO/IEC 27034
Sichere Softwareentwicklung wird mit der zunehmenden Digitalisierung zu einem der wichtigsten Wettbewerbsfaktoren. Dieses Training zur sicheren Softwareentwicklung behandelt diese wichtige Thematik praxisnah und ganzheitlich, über alle Entwicklungsschritte. Dabei werden auf Basis der ISO/IEC 27034 entsprechende Konzepte, Methoden und Prozesse betrachtet und praktisches Wissen zu deren Umsetzung vermittelt und geübt.
- Dieses Training vermittelt zudem, wie ein Rahmenwerk für Anwendungssicherheitsmaßnahmen eingerichtet wird, das die Sicherheit von Anwendungen gewährleistet, unabhängig davon, ob die Anwendung selbst intern entwickelt, durch einen Dienstleister entwickelt oder als Produkt von einem Anbieter eingekauft wird.
- Der sogenannten Secure Software Development Lifecycle (SDLC) nimmt dabei eine zentrale Rolle ein. Der SDLC verankert Methoden und Maßnahmen in jedem Entwicklungsschritt, die dafür sorgen, dass die resultierende Software hohen Sicherheits- und damit Qualitätsanforderungen genügt.
- Die Kompetenz für die Beurteilung und Auswahl von Anwendungssicherheitsmaßnahmen wird dabei anhand von etablierten Normen und Standards wie ISO/IEC 27001, ISO/IEC 27002:2022, ISO/IEC 15408 (Common Criteria), NISP SP 800-53, IT-Grundschutz-Kompendium des BSI, OWASP Top 10, OWASP Application Security Verification Standard erworben.
Vorteile | Advantages
Wir vermitteln Ihnen:
- wie Sie Prozesse, Komponenten und Rahmenwerke zum Sicherheitsmanagement von Softwareanwendungen anwenden können.
- wie Sie Sicherheitsmaßnahmen für Softwareanwendungen für Ihren Kontext ableiten. beurteilen und auswählen können.
- wie Sie einen Application Security Management-Prozess einrichten, umsetzen und aufrechterhalten können.
Inhalte | Content
- Motivation und Grundlagen der IT- und Anwendungssicherheit
- Software-Schwachstellen und ihre Konsequenzen
- Ursachen für Softwarefehler
- Angriffsarten und Schutz vor Angriffe
- Entwurfsprinzipien für sichere Entwicklung
- ISO/IEC 27034: Grundlagen
- Zielsetzung, Zwecke
- Anwendungsbereiche
- Aufbau
- Anwendungssicherheit im Kontext eines Informationssicherheitsmanagementsystems (ISMS) mit Praxisübung
- Einordnung und Anwendungsbereiche
- Risikomanagement im Kontext Anwendungssicherheit
- ISO/IEC 27034: Prozesse und Frameworks (Überblick)
- Application Security Management Process (ASMP)
- Ermittlung und Dokumentation von Sicherheitsanforderungen
- typische Kategorien von Sicherheitsanforderungen
- Beurteilung und Handhabung von Anwendungssicherheitsrisiken
- Erstellen und Auswählen von Sicherheitsmaßnahmen im Kontext eines Application Normative Frameworks (ANF)
- Quellen für Sicherheitsmaßnahmen: ISO/IEC 27001, ISO/IEC 27002:2022, ISO/IEC 15408 (Common Criteria), NISP SP 800-53, IT-Grundschutz-Kompendium des BSI, OWASP Top 10, OWASP Application Security Verification Standard
- die Struktur der neuen ISO/IEC 27002:2022 sowie die neuen relevanten Maßnahmen für die Entwicklung sicherer Software und deren sicheren Betrieb (insb. Threat Intelligence, Logging, Monitoring, sicherer Entwicklungslebenszyklus, Secure Coding, Sicherheitstests)
- Organization Normative Framework (ONF)
- Kontext, Anforderungen, Rollen
- Praxisübung zur Zuordnung von Anwendungssicherheitsmaßnahmen im Entwicklungsprozess (SDLC)
- Ableitung passender Richtlinien und Programmier-Anforderungen
Abschluss | Degree
Teilnahmebescheinigung von TÜV SÜD
Zielgruppe | Target group
- Information Security Officer (ISO/CISO)
- Informationssicherheitsbeauftragte/-verantwortliche
- Software-Entwicklungsmanager
- Software-Architekten, IT-Auditoren, Revisionen
- Projektmanager, Produktmanager
- Software-Einkäufer
Hinweis | Note
- Dieses Training wird in deutscher Sprache durchgeführt.
- Fachtrainer der TÜV SÜD Akademie
Voraussetzung | Requirements
Zertifikat Information Security Foundation oder Information Security Officer-TÜV (oder eine vergleichbare Qualifikation) empfohlen aber nicht zwingend erforderlich
Duchführende Akademie | Executing Academy
Alle Online Termine dieser Veranstaltung werden von der TÜV SÜD Akademie GmbH in Deutschland durchgeführt. Bei Onlinetrainings gelten daher zusätzlich die Allgemeinen Geschäftsbedingungen und Prüfungsordnungen sowie Datenschutzinformationen der TÜV SÜD Akademie GmbH. Bei Rückfragen stehen wir Ihnen gerne unter [email protected] zur Verfügung.