01. АУТЕНТИФИКАЦИЯ

1. Настройка политик сложности и изменяемости пароля;
2. Пароль должен храниться в зашифрованном виде;
3. Ограничение количества неудачных попыток входа;
4. Двухфакторная аутентификация;
5. Интеграция с каталогами управления пользователями;
6. Поддержка SSO (Single Sign-On).

Ценность

• Для проверки подлинности личности пользователя, который желает получить доступ кзащищенным ресурсам системы;
• Предотвратить угадывание пароля и использования одного и того же пароля на протяжении длительного времени;
• Предотвратить атаки подбором пароля;
• Для обеспечения более эффективной защиты от несанкционированного проникновения;
• Централизованно управлять пользователями и их правами доступа;
• Предотвращать несанкционированный доступ к ресурсам при краже учетных данных пользователя.

02. АВТОРИЗАЦИЯ

1. Пользователь должен иметь минимально возможный уровень привилегий, необходимых для выполнения своей работы в системе;
2. Ролевая модель управления доступом (RBAC);
3. Управление доступом на основе контекста (ABAC)
4. Разделение обязанностей (пользователь, администратор системы, администратор безопасности и т.п.)

Ценность

• Для определения прав доступа пользователя к ресурсам информационной системы, включая объекты, которые пользователь может видеть, изменять или удалять
• Исключить возможность выполнение действий, за исключением тех, что необходимы для выполнения своих задач
• Управлять доступом к ресурсам на основе функций (ролей), которые пользователи выполняют в системе
• Получить большую гибкость и детализацию в принятии решений о контроле доступа
• Предотвратить конфликты интересов и возможность мошенничества или ошибок, связанных с управлением системой

03. АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ

1. Аутентификация и авторизация пользователей, а также всех изменений прав доступа;
2. Регистрирование попыток доступа к защищенным объектам и изменений настроек безопасности;
3. Сохранение результатов попыток доступа даже при падении приложения и/или разрушении его основных данных.

Ценность

• Для осуществления процесса сбора и анализа информации о действиях пользователей в информационной системе;
• Для выявления нарушений политик безопасности и обнаружения угрозы безопасности в реальном времени;
• Для анализа возможных проблем, связанных с фактом обращения к защищенным объектам, приводящим к выводу из строя обслуживающих их систем.

04. ЖУРНАЛИРОВАНИЕ ИЗМЕНЕНИЙ ДАННЫХ

1. Регистрация всех действий, связанных с изменением информации в системе;
2. Защита журнала от изменений;
3. Гарантия сохранности данных журнала на протяжении всего времени хранения
4. Наличие в журнале копий данных до проведенных изменений.

Ценность

• Для отслеживания и анализа изменений, сделанных в системе, и обнаружения потенциальных угроз безопасности;
• Для обеспечения точности и достоверности информации и предотвращения удаления или подмены данных;
• Для облегчения процесса анализа данных.

05. ЗАЩИТА КРИТИЧНЫХ ДАННЫХ

Соответствие законодательству и регулятивным требованиям в области защиты критичных данных и конфиденциальности.

Ценность

Позволяет защитить данные от несанкционированного доступа и их использования.

06. ЗАЩИЩЕННОСТЬ ПРОГРАММНОГО КОДА

1. Применение средств (библиотек) защиты от инъекций в HTTP- и SQL-запросы, в JS-код, в код вызова команд ОС;
2. Защита от обращения по внешним ссылкам при обработке текстовых ресурсов (XML. JSON и т.п.);
3. Защита от изменения значений параметров запросов к backend (контроль прав пользователя на доступ к ресурсам и объектам системы на стороне backend);
4. Исключение выполнения программного кода, полученного из внешних источников (через параметры вызова или сохраненные ранее данные);
5. Контроль уязвимостей в коде используемых внешних программных библиотек.

Ценность

• Для предотвращения вредоносных действий злоумышленников путем вставки, подмены, удаления программного кода и/или используемых в коде ресурсов;
• Для защиты целостности и достоверности данных программного продукта.

07. ИСПОЛЬЗОВАНИЕ ЗАЩИЩЕННЫХ КАНАЛОВ СВЯЗИ

Приложение использует протокол https (TLS версии 1.2 и выше)

Ценность

Эти протоколы обеспечивают шифрование данных, передаваемых между системами, и аутентификацию сервера и клиента, что позволяет предотвратить возможные атаки типа «Man-in- the-middle» и другие виды киберугроз

08. СБОРКА И ОБНОВЛЕНИЕ ПРИЛОЖЕНИЯ

1. Использование для проверок на защищенность автоматического конвейера сборки и упаковки приложения (DevSecOps), исключающего последующее ручное вмешательство в дистрибутив;
2. Обеспечение достоверности и целостности поставляемых дистрибутивов и обновлений.

Ценность

Исключить риски повреждения, а также преднамеренного или случайного изменения программного обеспечения на этапах сборки и доставки.

09. СЕГМЕНТИРОВАННОЕ РАЗВЕРТЫВАНИЕ

1. Выделение различных частей приложения (сервера приложений, сервера базы данных, брокер сообщений), компонентов, взаимодействующих с интернет и иных общедоступных сервисов в разные сетевые сегменты;
2. Все требуемые приложению протоколы и порты взаимодействия описаны и доступны для настройки правил доступа;
3. Способность корректной работы в инфраструктуре со средствами защиты (IDS/IPS/Web Application Filewall);
4. Обновление продукта без подключения к сети интернет.

Ценность

• Разделение компонентов приложения по изолированным сетевым сегментам уменьшает вероятность компрометации всего приложения в случае успешной атаки на один из его компонентов;
• Средства защиты помогают обнаруживать и блокировать попытки несанкционированного доступа и предотвращать кражу данных или нарушение конфиденциальности;
• Для развертывания программного продукта в защищенной среде, такой как дата-центр с высоким уровнем безопасности и с ограниченным доступом.