Реализованные меры обеспечения информационной безопасности

• Общие положения
  • Назначение документа
  • Область применения
  • Подходы к обеспечению безопасности
  • Термины и сокращения
• Описание встроенных механизмов безопасности системы Global ERP
  • Общие положения
  • Термины и определения
  • Область применения
  • Нормативная база
  • Архитектурные принципы безопасности
  • Учет требований ГОСТ Р 51583-2014 в процессе разработки
  • Встроенные механизмы безопасности системы
    • Идентификация и аутентификация
    • Управление доступом
    • Аудит и журналирование
    • Защита каналов связи
    • Управление секретами
    • Безопасность выполнения и обработки запросов
  • Зона ответственности ООО «Бизнес Технологии»
  • Зона ответственности заказчика
• Регламент идентификации и аутентификации в Global ERP
  • Область действия
  • Нормативная база
  • Классификация пользователей и учетных записей
  • Общая модель идентификации и аутентификации
  • Идентификация пользователей
  • Ролевая модель доступа
  • Контроль привилегий
  • Безопасность интерфейса доступа
  • Локальная аутентификация
  • Парольная политика
  • Автоматическая генерация паролей
  • Защита от подбора паролей
  • Защита сеансов
    • Завершение сеанса
    • Повторная идентификация, аутентификация и начало нового сеанса
  • Аутентификация через LDAP, Active Directory и ALDPro
  • Процесс аутентификации с помощью единого входа
  • Аутентификация через внешний прокси-сервер авторизации
  • Аутентификация технических подключений и сервисов
  • Аутентификация устройств
  • Источники учетных данных и ролевой контур
  • Требования к расширениям и функциональному дизайну
• Положение о безопасной разработке
  • Область действия
  • Нормативная база
  • Ответственность участников процесса
    • Разработчик
    • Архитектор
    • Инженер по тестированию
    • Специалист по информационной безопасности
    • Ответственный за релиз
  • Основные принципы
  • Рецензирование кода
  • Контроль сторонних библиотек и доверенного контура сборки
  • Статический анализ прикладного кода
  • Анализ зависимостей и уязвимостей сторонних компонентов
  • Динамический анализ веб-интерфейсов и API
  • Дополнительные методы проверки безопасности
  • Фаззинг-тестирование
  • Управление уязвимостями
  • Принятие решения о выпуске
  • Учет результатов проверок
  • Обучение и осведомленность
• Безопасность выполнения и обработки запросов
  • Безопасность выполнения серверной логики
  • Защита от изменения логики SQL-запросов
  • Сокрытие информации о веб-сервере
• Логирование, аудит и управление инцидентами
  • Логирование событий безопасности
  • Защита журналов
  • Аудит пользовательской активности
  • Управление инцидентами
  • Учет и устранение выявленных уязвимостей
• Инфраструктурная безопасность и сопровождение
  • Сетевая безопасность
  • Совместимость с защищенной инфраструктурой
  • Контроль целостности
  • Защита данных
  • Резервное копирование и восстановление
  • Обновления и сопровождение