Информационная безопасность

ТРЕБОВАНИЯ
К ИНФОРМАЦИОНННОЙ БЕЗОПАСНОСТИ
Требования к безопасной разработке современных цифровых программных продуктов
АУТЕНТИФИКАЦИЯ
01. АУТЕНТИФИКАЦИЯ
  1. Настройка политик сложности и изменяемости пароля
  2. Пароль должен храниться в зашифрованном виде
  3. Ограничение количества неудачных попыток входа
  4. Двухфакторная аутентификация
  5. Интеграция с каталогами управления пользователями
  6. Поддержка SSO (Single Sign-On)
ЦЕННОСТЬ
  • Для проверки подлинности личности пользователя, который желает получить доступ к защищенным ресурсам системы
  • Предотвратить угадывание пароля и использования одного и того же пароля на протяжении длительного времени
  • Предотвратить атаки подбором пароля
  • Для обеспечения более эффективной защиты от несанкционированного проникновения
  • Централизованно управлять пользователями и их правами доступа
  • Предотвращать несанкционированный доступ к ресурсам при краже учетных данных пользователя
АВТОРИЗАЦИЯ
02. АВТОРИЗАЦИЯ
  1. Пользователь должен иметь минимально возможный уровень привилегий, необходимых для выполнения своей работы в системе
  2. Ролевая модель управления доступом (RBAC)
  3. Управление доступом на основе контекста (ABAC)
  4. Разделение обязанностей (пользователь, администратор системы, администратор безопасности и т.п.)
ЦЕННОСТЬ
  • Для определения прав доступа пользователя к ресурсам информационной системы, включая объекты, которые пользователь может видеть, изменять или удалять
  • Исключить возможность выполнение действий, за исключением тех, что необходимы для выполнения своих задач
  • Управлять доступом к ресурсам на основе функций (ролей), которые пользователи выполняют в системе
  • Получить большую гибкость и детализацию в принятии решений о контроле доступа
  • Предотвратить конфликты интересов и возможность мошенничества или ошибок, связанных с управлением системой
АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ
03. АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ
  1. Аутентификация и авторизация пользователей, а также всех изменений прав доступа
  2. Регистрирование попыток доступа к защищенным объектам и изменений настроек безопасности
  3. Сохранение результатов попыток доступа даже при падении приложения и/или разрушении его основных данных
ЦЕННОСТЬ
  • Для осуществления процесса сбора и анализа информации о действиях пользователей в информационной системе
  • Для выявления нарушений политик безопасности и обнаружения угрозы безопасности в реальном времени
  • Для анализа возможных проблем, связанных с фактом обращения к защищенным объектам, приводящим к выводу из строя обслуживающих их систем
ЖУРНАЛИРОВАНИЕ ИЗМЕНЕНИЙ ДАННЫХ
04. ЖУРНАЛИРОВАНИЕ ИЗМЕНЕНИЙ ДАННЫХ
  1. Регистрация всех действий, связанных с изменением информации в системе
  2. Защита журнала от изменений
  3. Гарантия сохранности данных журнала на протяжении всего времени хранения
  4. Наличие в журнале копий данных до проведенных изменений
ЦЕННОСТЬ
  • Для отслеживания и анализа изменений, сделанных в системе, и обнаружения потенциальных угроз безопасности
  • Для обеспечения точности и достоверности информации и предотвращения удаления или подмены данных
  • Для облегчения процесса анализа данных
ЗАЩИТА КРИТИЧНЫХ ДАННЫХ
05. ЗАЩИТА КРИТИЧНЫХ ДАННЫХ
Соответствие законодательству и регулятивным требованиям в области защиты критичных данных и конфиденциальности
ЦЕННОСТЬ
Позволяет защитить данные от несанкционированного доступа и их использования
ЗАЩИЩЕННОСТЬ ПРОГРАММНОГО КОДА
06. ЗАЩИЩЕННОСТЬ ПРОГРАММНОГО КОДА
  1. Применение средств (библиотек) защиты от инъекций в HTTP- и SQL-запросы, в JS-код, в код вызова команд ОС
  2. Защита от обращения по внешним ссылкам при обработке текстовых ресурсов (XML. JSON и т.п.)
  3. Защита от изменения значений параметров запросов к backend (контроль прав пользователя на доступ к ресурсам и объектам системы на стороне backend)
  4. Исключение выполнения программного кода, полученного из внешних источников (через параметры вызова или сохраненные ранее данные)
  5. Контроль уязвимостей в коде используемых внешних программных библиотек
ЦЕННОСТЬ
  • Для предотвращения вредоносных действий злоумышленников путем вставки, подмены, удаления программного кода и/или используемых в коде ресурсов
  • Для защиты целостности и достоверности данных программного продукта
ИСПОЛЬЗОВАНИЕ ЗАЩИЩЕННЫХ КАНАЛОВ СВЯЗИ
07. ИСПОЛЬЗОВАНИЕ ЗАЩИЩЕННЫХ КАНАЛОВ СВЯЗИ
Приложение использует протокол https (TLS версии 1.2 и выше)
ЦЕННОСТЬ
Эти протоколы обеспечивают шифрование данных, передаваемых между системами, и аутентификацию сервера и клиента, что позволяет предотвратить возможные атаки типа «Man-in-the-middle» и другие виды киберугроз
СБОРКА И ОБНОВЛЕНИЕ ПРИЛОЖЕНИЯ
08. СБОРКА И ОБНОВЛЕНИЕ ПРИЛОЖЕНИЯ
  1. Использование для проверок на защищенность автоматического конвейера сборки и упаковки приложения (DevSecOps), исключающего последующее ручное вмешательство в дистрибутив
  2. Обеспечение достоверности и целостности поставляемых дистрибутивов и обновлений
ЦЕННОСТЬ
Исключить риски повреждения, а также преднамеренного или случайного изменения программного обеспечения на этапах сборки и доставки
СЕГМЕНТИРОВАННОЕ РАЗВЕРТЫВАНИЕ
09. СЕГМЕНТИРОВАННОЕ РАЗВЕРТЫВАНИЕ
  1. Выделение различных частей приложения (сервера приложений, сервера базы данных, брокер сообщений), компонентов, взаимодействующих с интернет и иных общедоступных сервисов в разные сетевые сегменты
  2. Все требуемые приложению протоколы и порты взаимодействия описаны и доступны для настройки правил доступа
  3. Способность корректной работы в инфраструктуре со средствами защиты (IDS/IPS/Web Application Filewall)
  4. Обновление продукта без подключения к сети интернет
ЦЕННОСТЬ
  • Разделение компонентов приложения по изолированным сетевым сегментам уменьшает вероятность компрометации всего приложения в случае успешной атаки на один из его компонентов
  • Средства защиты помогают обнаруживать и блокировать попытки несанкционированного доступа и предотвращать кражу данных или нарушение конфиденциальности
  • Для развертывания программного продукта в защищенной среде, такой как дата-центр с высоким уровнем безопасности и с ограниченным доступом
ОСТАЛИСЬ ВОПРОСЫ?
Напишите нам, и мы обязательно вам ответим
*поля обязательные к заполнению