значениям.
Проверка параметров на соответствие не должна осуществляться только на клиентской стороне.
Проверка параметров должна осуществляться до их передачи серверным приложениям.
Проверка параметров не должна осуществляться по принципу исключения запрещенных значений. Проверка должна осуществляться на разрешение только допустимых значений.
Авторизация и аутентификация
При доступе к закрытым областям проверка должна осуществляться при любой попытке доступа к любому адресу закрытой области. Недопустимо возникновение ситуации, при которой существует возможность получить доступ к объекту закрытой области, минуя проверку.
Программное обеспечение не должно допускать возможности использования его для косвенного доступа к закрытым областям или данным. Не должно быть возможности получения содержимого закрытого информационного объекта путем вызова открытых функций Портала с указанием адреса закрытого источника.
Должна быть максимально исключена возможность кэширования содержимого страниц, для доступа к которым требуется авторизация.
При использовании механизма учетных записей должны быть четко сформулированы политика и зона доступа для пользователей с теми или иными правами.
При использовании для идентификации вводимых пользователями паролей должны быть реализованы механизмы проверки пароля на устойчивость к подбору и ограничения попыток ввода некорректного значения учетных записей и паролей. В том случае, если предусматривается механизм смены пароля для пользователей, при смене пароля в обязательном порядке должно запрашиваться его предыдущее значение. При использовании механизма отсылки по электронной почте забытого пароля должна осуществляться проверка на соответствие учетной записи и электронного адреса.
Возможность хранения пароля в тексте процедур или функций, применяемых на Портале, должна быть исключена.
При пересылке паролей, персональных данных пользователей или любой другой конфиденциальной информации необходимо использовать механизм защищенного соединения.
Система не должна предоставлять возможности получить список идентификационных записей, применяемых в системе. В случае необходимости должны использоваться некие псевдонимы учетных записей, для того чтобы исключать использования значений реальных учетных записей для атаки или попытки подбора пароля.
Предотвращение внедрения вредоносных компонент
(Предотвращение внедрения вредоносных компонент в состав
системы программного обеспечения и данных)
Система должна контролировать получаемую информацию на предмет отсутствия вредоносного для нее или других пользователей системы кода. В частности, должна предотвращаться возможность внедрения в тело сообщений, предназначенных для публичного просмотра, какого-либо вредоносного кода. Механизм, обеспечивающий недопущение вредоносных компонент, должен действовать не по принципу исключения данных, соответствующих некоторым образцам или значениям, а по принципу исключения всех данных, не соответствующих разрешенным значениям или образцам.
Защита общесистемного программного обеспечения
Приложения, используемые в системе, должны быть сконфигурированы таким образом, чтобы работать при минимально необходимым им привилегиям и уровням доступа.
При использовании внешних программ, системных вызовов и т.д. необходимо разработать механизм перехвата аварийных сообщений и проверки отправляемых данных.
Контроль ошибок
При разработке системы должны быть определены возможные типы ошибок и механизмы обработки аварийных ситуаций.
При возникновении ошибок или аварийных ситуаций система должна выдавать пользователям сообщение об этом, не указывая при этом никаких дополнительных данных. Сообщение об ошибке не должно содержать информацию об архитектуре си
> 1 2 3 ... 6 7 8 9 ... 10
Zaki.ru законы и право
поиск по сайту
каталог документов
добавить сайт Zaki.ru в избранное
Правовые акты международные
Правовые акты Москвы
