Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах

Методическая документация ФСТЭК

п.4.7.3.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

4. Меры по защите информационных систем и содержащейся в них информации
4.7. Защита веб-технологий (ЗВТ)
ЗВТ.3 Контроль и фильтрация трафика веб-приложений
Требования к реализации: В информационной системе должна быть обеспечена возможность автоматического контроля и фильтрации сетевого трафика веб-приложения, поступающего по сетевому интерфейсу программного взаимодействия с веб-приложением, в соответствии с мерой защиты информации ЗПИ.3.
Контроль и фильтрация данных пользовательских запросов должны быть направлены на обнаружение, как минимум, следующих событий:
- нарушение содержащимися в запросе пользователя данными установленных в информационной системе ограничений по типу, размеру, формату и допустимому содержимому (схемы запроса);
- включение в состав запроса управляющих символов и конструкций, способных изменить логику обработки веб-приложением пользовательских запросов (например, SQL-запросы, JavaScript-код, системные команды);
- включение в состав запроса аутентификаторов доступа или иной чувствительной информации в открытом виде;
- формирование запросов автоматизированными инструментальными средствами поиска и эксплуатации уязвимостей веб-приложений;
- формирование запросов автоматизированными инструментальными средствами перебора (подбора) аутентификационной информации.
Контроль и фильтрация сетевого трафика веб-приложения должны обеспечиваться на основе как минимум следующих атрибутов пользовательского запроса протокола передачи гипертекста:
- унифицированный идентификатор запрошенного информационного ресурса;
- веб-метод запроса;
- значения заголовков запроса;
- наименования и значения параметров запроса;
- идентификатор веб-клиента (набор значений заголовков атрибутов веб-клиента).
Контроль и фильтрация сетевого трафика веб-приложений, использующих расширения протокола передачи гипертекста и иные версии прикладных протоколов (например, протокол WebSocket), должны обеспечиваться на основе атрибутов, описанных во внутреннем стандарте, содержащем требования к типовым конфигурациям и настройкам программных, программно-аппаратных средств.
Для веб-приложений, доступных из сети «Интернет», указанные меры защиты информации должны быть реализованы с использованием межсетевого экрана уровня веб-сервера, или многофункционального межсетевого экрана уровня сети.

Название	Severity	IP	Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111	-	1	-
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111	-	1	-

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.