Требования к безопасности
Что такое Требования к безопасности?
Требования к безопасностиЯвные и проверяемые утверждения о том, что система обязана и не должна делать для защиты конфиденциальности, целостности, доступности и приватности.
Требования к безопасности переводят угрозы, нормативные акты и решения по рискам в инженерно-готовые формулировки вроде «пароли хранить с Argon2id и параметрами X» или «все админ-эндпоинты требуют усиленной MFA». Они охватывают функциональную безопасность (аутентификация, авторизация, журналирование) и нефункциональные свойства (криптостойкость, сроки хранения, отказоустойчивость). Каталоги, такие как OWASP ASVS, NIST SP 800-53 и PCI DSS, можно адаптировать под продукт. Их формулирование на ранних этапах SDLC, исходя из моделирования угроз и abuse/misuse case, делает безопасность проверяемой через ревью кода, SAST, DAST и приёмочные тесты.
● Примеры
- 01
ASVS V2.1.1: приложение должно требовать пароль минимум из 12 символов.
- 02
Требование: все поля PII шифруются в покое ключом, управляемым клиентом.
● Частые вопросы
Что такое Требования к безопасности?
Явные и проверяемые утверждения о том, что система обязана и не должна делать для защиты конфиденциальности, целостности, доступности и приватности. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Требования к безопасности?
Явные и проверяемые утверждения о том, что система обязана и не должна делать для защиты конфиденциальности, целостности, доступности и приватности.
Как защититься от Требования к безопасности?
Защита от Требования к безопасности обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Требования к безопасности?
Распространённые альтернативные названия: Безопасные требования, Требования AppSec.