SDLC_Guide_to_CSSLP
  • Цели
  • Концепты безопасного ПО
  • Ключевые концепции безопасности
Powered by GitBook
On this page

Ключевые концепции безопасности

Конфиденциальность

В сегодняшней индустрии превалирующими являются серьёзные инциденты похищения и утечек идентификационных данных, которые могут быть прямо связаны с недостатком или неэффективностью механизмов защиты от раскрытия данных. Как только вы осуществляете вход в аккаунт своего персонального банка, вы ожидаете увидеть только свою информацию, а не чью-либо ещё. Соответственно, вы ожидаете, что ваша персональная информация не будет доступна иным лицам, запросившим её. Конфиденциальность — это концепт безопасности, который имеет отношение к защите от неавторизованного раскрытия информации. Он также имеет отношение к отображению данных. Разумеется, конфиденциальность не только удостоверяет секретность данных, но также может помочь в обеспечении приватности данных.

Целостность

Программное обеспечение, которое является надежным или, иными словами, работает как задумано, обеспечивая защиту от неправильного изменения данных называется отказоустойчивым ПО. Целостность - мера устойчивости программного обеспечения, cвязанная с дублированием или модификацией данных и надежным функционированием программного обеспечения.

Когда вы используете систему оплаты счетов через Интернет, вы

ожидайте, что при инициации перевода платежа из вашего банка на счет коммунальных служб, сумма, которую вы разрешили перечислить – это именно та же сумма, которая списывается с вашего счета и зачисляется на сервис аккаунт поставщика. Мало того, что вы ожидаете, что программное обеспечение, которое обрабатывает эту транзакцию работает так, как задумано, но вы также ожидаете, что сумма которую вы указали для транзакции не изменена ни кем или чем-либо еще. Программное обеспечение должно списать с указанной вами учетной записи (а не любой другой учетной записи)

и зачислить на действительный счет, который принадлежит поставщику услуг (а не

кому-нибудь еще). Если вы разрешили заплатить $ 129,00, сумма, которая спишется с

вашего аккаунта должна быть ровно 129,00 $, а сумма, зачисленная на Счет поставщика услуг, должна быть не 12,90 или 1290,00 долларов, а именно 129,00 долларов. С момента, когда передача данных начинается, до момента, когда данные проходят все этапы или

уничтожаются, они не должны быть изменены неавторизованным субъектом или процессом.

Таким образом, целостность ПО содержит в себе два аспекта. Во-первых, она должна гарантировать, что данные, которые передаются, обрабатываются и хранятся в соответствии с логикой отправителя и, во-вторых, программное обеспечение работает надежно, как и было задумано.

Концепция дизайна баз данных и подписи кода, известная как целостность ссылочных данных, которая будет рассмотрена в данной книге в обоих аспектах, может быть использована для обеспечения целостности.

Доступность

Доступность — это концепция безопасности, связанная с доступом к программному обеспечению или данным, или информации, которую он обрабатывает. В то время как общая цель программы непрерывности бизнеса (BCP) может состоять в том, чтобы свести к минимуму время простоя и влияние на бизнес-процессы, доступность как концепция

это не просто концепция непрерывности бизнеса, а концепция безопасности программного обеспечения в том числе. Доступ должен учитывать аспекты доступности «кто» и «когда».

Во-первых, программное обеспечение или обрабатываемые им данные должны быть доступны только тем, кто авторизован (кто), а во-вторых, он должен быть доступен только в требуемое время (когда). Данные не должны быть доступны не тем людям или не в то время.

Соглашение об уровне обслуживания (SLA) является примером инструмента, который может быть использован для явного определения и управления требованиями к доступности для деловых партнеров и клиентов. Балансировка нагрузки и репликация — это механизмы, которые можно использовать для обеспечения доступности. Программное обеспечение также может быть разработано с функциональностью мониторинга и оповещения, которая может обнаруживать сбои и уведомлять соответствующий персонал для того, чтобы минимизировать время простоя, еще раз гарантируя доступность.

Аутентификация

Программное обеспечение является проводником к внутренним базам данных, системам и сети организации и потому крайне важно, чтобы доступ к внутренней конфиденциальной информации предоставлялся только доверенным юридическим лицам. Аутентификация — это концепция безопасности, которая отвечает на вопрос: «Вы тот, кем вы себя называете?». Она не только гарантирует, что идентичность объекта (лица или ресурса) указывается в соответствии с форматом, которого ожидает программное обеспечение, но оно также валидирует или верифицирует предоставленную информацию. Другими словами, она удостоверяет правомочность требований

субъекта путем проверки идентификационной информации.

Аутентификация следует за идентификацией в том смысле, что сначала необходимо идентифицировать человека или процесс, прежде чем его можно будет проверить или подтвердить. Предоставляемая идентификационная информация также называется учетными данными. Наиболее распространенной формой учетных данных является комбинация имени пользователя (или идентификатора пользователя) и

пароль, но аутентификация может быть прежде всего достигнута в любом или в комбинации следующих трех факторов.

· Знание - Идентификационная информация, представленная в этом

механизме проверки — это нечто известное идентифицируемому лицу. Примерами данного типа аутентификации являются имя пользователя и пароль, парольные фразы или персональный идентификационный номер (ПИН).

PreviousКонцепты безопасного ПО

Last updated 6 years ago