Анализ защищенности web-приложений (по классификации OWASP)
Общепринятый «инструментарий», на который опирается аудитор - стандарты ISO/IEC 17799, ISO/IEC 27001, ГОСТ ИСО/МЭК 15408 не описывают перечень угроз web-приложений и не содержат требований к качеству реализаций основных функций приложения.
В банковском стандарте (если брать его во внимание)также нет конкретных рекомендаций, как и в письме ЦБ «Рекомендации по информационному содержанию и организации Web-сайтов кредитных организаций в сети».
Поэтому для анализа защищенности web-приложений удобнее опираться на классификацию OWASP.
Open Web Application Security Project (OWASP) - некоммерческий проект, в котором разработана четкая классификация всех угроз и уязвимостей для web-приложений.