Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям AppSec Table Top: методология... Формирование безопасной архите...
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Формирование безопасной архитектуры

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • PreStageSDL
  • Процесс: Проектирование архитектуры
  • Практика: Технический проект
  • Инициатива: Формирование безопасной архитектуры
    Описание:
    На этапе проектирования важно принять во внимание устойчивость системы к атакам и меры обеспечения безопасности данных. Архитектура должна учитывать все требования [    TMR4], принципы безопасной разработки, используемый технологический стек [TP1], методологию и распределение сред [TP3]
    Ключевые принципы проектирования безопасной архитектуры:
    • Безопасность по умолчанию: система должна быть максимально защищена «из коробки».
    • Глубокая защита: использование нескольких уровней защиты для предотвращения несанкционированного доступа.
    • Минимизация поверхности атаки [CNFG1]: ограничение количества открытых портов, сервисов и интерфейсов.
    • Принцип наименьших привилегий [AC2]: предоставление пользователям и процессам только тех прав доступа, которые необходимы для выполнения их функций.
     Эти принципы должны быть заложены в самом начале и учитываться при принятии всех архитектурных решений.
     Результатом проектирования становится технический проект — документ, подробно описывающий архитектуру системы, технологический стек, подходы к управлению данными, концепцию обеспечения безопасности, результаты анализа безопасности и меры по минимизации рисков.
    Шаги реализации:
    1. Проанализировать требования к архитектуре: функциональные, требования ИБ и т. д.
    2. Проанализировать ограничения и особенности приложения/системы: архитектура, технологический стек, совместимость компонент стека.
    3. Сформировать проект архитектуры с учетом всех требований, ограничений и принципов безопасности. 
    4. Провести первичный анализа архитектуры.
    5. Разработать технический проект, включающий результаты анализа безопасности, а также описание стека, механизмов безопасности и ответственных.
    6. Проводить периодический анализ и при необходимости пересматривать архитектуру.
    Зона ответственности: ИТ/AppSec
    Инструмент: -
    Артефакт: Технический проект
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 - 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.