Security (Безопасность)¶
Безопасность (security) связана с блокировкой неавторизированного досту- па к системным функциям или данным, предотвращением потерь от атак вре- доносного кода и т. п.
Примеры
-
SEC-1. Система должна заблокировать учетную запись пользователя по- сле четырех неудачных попыток входа в систему за пять минут.
-
SEC-2. Система должна регистрировать в журнале все попытки доступа к защищенным данным пользователей, не обладающих достаточным уровнем полномочий.
-
SEC-3. Пользователь должен изменить временный пароль, назначенный специалистом по безопасности, на новый пароль сразу же после первого успешного входа в систему с использованием временного пароля.
-
SEC-4. Дверь, разблокированная в результате успешного считывания бейджа безопасности, должна оставаться разблокированной на протяжении 8,0 с разбросом в полсекунды.
-
SEC-5. Резидентное противовирусное ПО должно размещать в карантине весь интернет-трафик, в котором содержатся известные или подозрительные сигнатуры вирусов.
-
SEC-6. Только пользователи, обладающие привилегиями уровня Аудитор, должны иметь возможность просматривать транзакции клиентов.
Вопросы
- Какие конфиденциальные данные нужно защитить от неправомочного доступа?
- Кто уполномочен просматривать конфиденциальные данные? И кто конкретно не уполномочен?
- При каких бизнес-условиях или в каких временных рамках полномочным пользователям предоставляется доступ к функциональности?
- Какие проверки должны выполняться для проверки того, что пользователь выполняет приложение в безопасной среде?
- Как часто должна антивирусная программа выполнять сканирование на предмет обнаружения вредоносного ПО?
- Должен ли применяться какой-то особый метод проверки подлинности пользователей?