Разработка архитектуры безопасности

Для приложений и систем

Разработка архитектуры безопасности. Для приложений и системы. Чем раньше будет учтена информационная безопасность в жизненном цикле приложения, тем меньше будут стоимость и сроки ее имплементации:

План проекта

Картика 1

1.Определение изначальных требований

  • Бизнес требования
  • Требования регуляторов и законодательства
  • Требования вендоров
  • Лучшие практики по настройке ИБ систем
Ресурс 9@2x

2.Моделирование угроз

  • Анализ возможных угроз
  • Определение ответных контролей
Картинка 2

3.Архитектура защиты

  • Архитектура приложения
  • Архитектура сети и средства защиты
Ресурс 6@2x

4.Технические контроли

  • Идентификация
  • Аутентификация
  • Авторизация
  • Управления сессиями
  • Валидация входных данных
  • Криптография
  • Управление ошибками
Картинка 5

5.Процессы (нетехнические контроли)

  • Тестирования
  • Обучение разработчиков
  • Анализ рисков
  • Мониторинг и логирование
  • Установка заплаток
  • Управление инцидентами
  • Управление изменениями
  • Физическая безопасность
  • Управления мощностями
  • Управление уязвимостями
  • Тесты на проникновение

В требованиях мы учитываем  OWASP Top 10 и SANS CWE 25

CWE_SANS top 25

Топ 25 самых опасных ошибок программного обеспечения CWE/SANS

  • CWE-89 Некорректная нейтрализация данных, используемых в команде SQL (‘SQL-инъекция‘)
  • CWE-78 Некорректная нейтрализация данных, используемых в команде OS (‘Инъекция  OS’)
  • CWE-79 Некорректная нейтрализация входных данных при создании веб-страницы (‘XSS’)
  • CWE-434 Неограниченная закачка файла опасного типа
  • CWE-352 Подделка запроса с перекрёстной ссылкой (межсайтового скриптинга) (CSRF)
  • CWE-601 Перенаправление с URL к недоверенному сайту (‘открытое перенаправление’)
  • CWE-120 Копирование в буфер без проверки размера данных (‘Переполнение буфера’)
  • CWE-22 Некорректное ограничение имени пути к каталогу  (‘обход каталога’)
  • CWE-494 Загрузка кода без проверки целостности
  • CWE-829 Добавление функциональности из недоверенной сферы управления
  • CWE-676 Использование потенциально опасной функции
  • CWE-131 Неправильное вычисление размера буфера
  • CWE-134 Неконтролируемая строка форматирования
  • CWE-190 Целочисленное переполнение или циклический возврат
  • CWE-306 Отсутствие аутентификации для критической функции
  • CWE-862 Отсутствие авторизации
  • CWE-798 Использование встроенных учетных данных
  • CWE-311 Отсутствие шифрования критичных данных
  • CWE-807 Доверие ненадёжным входным данным в принятии решений по безопасности
  • CWE-250 Выполнение с чрезмерными полномочиями
  • CWE-863 Некорректная авторизация
  • CWE-732 Некорректное присвоение разрешения на критический ресурс
  • CWE-327 Использование взломанного или опасного алгоритма шифрования
  • CWE-307 Некорректное ограничение числа дополнительных попыток аутентификации
  • CWE-759 Использование хэширования без использования случайного числа (пароля)
owasp top10

Топ-10 наиболее критичных рисков безопасности WEB-приложений от OWASP

  • A1 Внедрение кода
  • A2 Некорректная аутентификация и управление сессией
  • A3 Утечка чувствительных данных
  • A4 Внедрение внешних XML-сущностей (XXE)
  • A5 Нарушение контроля доступа
  • A6 Небезопасная конфигурация
  • A7 Межсайтовый скриптинг (XSS)
  • A8 Небезопасная десериализация
  • A9 Использование компонентов с известными уязвимостями
  • A10 Отсутствие журналирования и мониторинга

Используемые практики

Заказать услугу

Получить коммерческое предложение или консультацию эксперта

Заполните форму и мы с Вами свяжемся.