№ | Наименование функций | Содержание функций |
1 | Архитектура, дизайн и модель угроз (Architecture, Design and Threat Modeling) | Обеспечение безопасности дизайна приложения и архитектуры объекта испытаний и отсутствия уязвимостей. |
2 | Аутентификация (Authentication) | Обеспечение корректного функционирования аутентификации пользователей в объекте испытаний (логин/пароль, многофакторная авторизация, хэширование и другие криптографические методы). |
3 | Управление сессией (Session Management) | Обеспечение генерации уникальной сессии для каждого пользователя и технического запрета (блокировки) совместного использования сессии. Блокировка сессии пользователя по истечению времени бездействия (Timeout session). |
4 | Контроль доступа (Access Control) | Обеспечение разграничения прав пользователей и исключение несанкционированного доступа к объекту испытаний. |
5 | Проверка, фильтрация и кодирование (Validation, Sanitation and Encoding) | Обеспечение фильтрации входных пользовательских данных для предотвращения атак путем внедрения, а также обеспечение правильной кодировки выходных данных, при котором гарантируется защита их контекста от злоумышленников. |
6 | Хранимая криптография (Stored Cryptography) | Применение надежных алгоритмов шифрования и обеспечение безопасного управления и хранения криптографических ключей. |
7 | Обработка ошибок и логирование (Error Handling and Logging) | Обеспечение журналирования действий пользователей объекта испытаний и событий информационной безопасности с учетом их защиты в соответствии с требованиями безопасности. Собранные журналы с конфиденциальными данными не должны храниться долго локально на серверах объекта испытаний и должны быть удалены по истечении определенного промежутка времени. |
8 | Защита данных (Data Protection) | Обеспечение конфиденциальности при передаче и хранении данных в объекте испытаний с использованием средств криптографической защиты информации в соответствии с классификатором. |
9 | Связь (Communication) | Обеспечение безопасности объекта испытаний при передаче данных с использованием безопасных протоколов связи и алгоритмов шифрования. |
10 | Вредоносный код (Malicious Code) | Применение средств защиты для предотвращения выполнения вредоносного кода в объекте испытаний. |
11 | Бизнес-логика (Business Logic) | Обеспечение корректной работы логического функционирования объекта испытания согласно техническому заданию. |
12 | Файлы и ресурсы (Files and Resources) | Обеспечение хранения данных, полученных из сторонних и ненадежных источников вне серверов приложений. |
13 | Программный интерфейс приложения (API) |
Обеспечение соответствия API следующим требованиям: |
14 | Конфигурация (Configuration) | Обеспечение использования безопасных параметров конфигурации, сторонних библиотек, а также фильтрации небезопасных компонентов и надежной защиты конфиденциальных данных в файлах конфигураций при эксплуатации объекта испытаний. |