ÖNORM A7700 - Sichere Webapplikationen

Die ÖNORM A7700 legt sicherheitstechnische Anforderungen an Webapplikationen fest. Sie beschreibt wesentliche Qualitätskriterien, die bei der Entwicklung oder aber auch bei der Beschaffung von sicheren Webapplikationen zu berücksichtigen sind.

Sie behandelt wichtige Detailbereiche, wie beispielsweise Architektur, Authentifizierung, Autorisierung und Speichermanagement.

Die ÖNORM A7700 stellt eine Neubearbeitung der Normregel ONR 17700 dar, welche zwischen 2004 und 2005 vom Österreichischen Normungsinstitut, SEC Consult, von Großbanken, Versicherungen, Behörden und Industrieunternehmen entwickelt wurde. Sie kann zudem für die Zertifizierung von Webapplikationen herangezogen werden. In diesem Fall gewährleistet ein vollständiges und mehrstufiges Audit durch eine bzw. einen vom Österreichischen Normungsinstitut akkreditierte Autorin bzw. akkreditierten Auditor, dass etwaige Sicherheitsschwachstellen im Quellcode oder in der Architektur der Webapplikation erkannt und behoben werden.

Das Inhaltsverzeichnis der Norm umfasst folgende Themenbereiche:

  • Architektur der Webapplikation
  • Datenspeicherung und Datentransport
  • Konfigurationsdaten
  • Authentifizierung, Autorisierung und Sitzungen
  • Behandlung von Benutzereingaben und Datenausgaben
  • Hintergrundsysteme
  • System- und Fehlermeldungen
  • Kryptografie

Zertifizierungsprozess

Die ÖNORM A7700 ist eine zertifizierbare Norm. Der Zertifizierungsprozess unterteilt sich üblicherweise folgendermaßen:

  • Gap-Analyse
  • Hauptaudit
  • Behebung der Schwachstellen
  • Zwischenaudit
  • Behebung verbleibender Schwachstellen
  • Nachaudit
  • Zertifikatsausstellung 

Umfang und Verfügbarkeit

Die ÖNORM A7700 wurde im Dezember 2008 veröffentlicht und umfasst elf Seiten. Sie ist in deutscher Sprache auf der Homepage des Österreichischen Normungsinstitutes kostenpflichtig zum Download verfügbar. 

Weitere Informationen

Weitere Informationen zur Norm unter www.a7700.org.

> rechtlicher Hinweis

< zurück

Datum der Veröffentlichung: 22.03.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria