МУ им. С.Ю. Витте, обеспечение безопасности данных на средах тестирования и разработки (рейтинговая работа)
| 07.04.2026, 10:26 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ЗАДАНИЕ ДЛЯ ВЫПОЛНЕНИЯ РЕЙТИНГОВОЙ РАБОТЫ Варианты Задания выполняются по вариантам в соответствии с первой буквой фамилии.
Задание Вы являетесь специалистом по безопасности, приглашенным в проект на этапе определения и проектирования (Этап 2 по фреймворку OWASP из Главы 2 рабочего учебника). Ваша задача — проанализировать требования к будущему приложению, выявить критичные активы и построить начальную модель угроз. Для выполнения работы необходимо опираться на материалы учебного пособия, особенно на разделы: · 1.2. Принципы тестирования (особенно "Понимание сферы безопасности") · 1.3.2. Моделирование угроз · 2.3. Этап 2: во время определения и разработки · Разделы, описывающие требования безопасности и примеры угроз (STRIDE). Задание по варианту: Вам необходимо выполнить следующие шаги для приложения, указанного в вашем варианте: 1. Определение активов (Assets). Составьте список из 3-5 ключевых активов, которые необходимо защищать в рамках вашего приложения. Активом может быть информация (база данных клиентов, логины, платежные данные) или функциональность (возможность проводить платежи, сервис электронной почты). 2. Анализ требований безопасности. Сформулируйте 3-4 функциональных требования безопасности (положительных требования) к приложению, основываясь на его специфике. Примеры: "Пароль должен содержать не менее 8 символов...", "Доступ к истории заказов должен быть только у авторизованного пользователя...". 3. Разработка сценариев угроз (Моделирование угроз). Используя классификацию STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), опишите как минимум по одной потенциальной угрозе для двух-трех ключевых функций вашего приложения. Для каждой угрозы кратко опишите, как злоумышленник может ее реализовать. 4. Предложение контрмер. Для каждой описанной угрозы предложите одну возможную меру противодействия (контрмеру), которую разработчики могут реализовать, чтобы снизить риск. Пример оформления таблицы угроз и контрмер:
ТРЕБОВАНИЯ К ОФОРМЛЕНИЮ РЕЙТИНГОВОЙ РАБОТЫ Рейтинговая работа выполняется обучающимся самостоятельно в электронной форме и размещается обучающимся в личном кабинете в виде файла: - файл отчета по работе с именем файла ФИО.docx (пример: «Иванов АС.docx») Примерное содержание отчета: Оглавление Введение Раздел 1. Активы: список с кратким обоснованием. Раздел 2. Требования безопасности: список требований. Раздел 3. Модель угроз (можно в виде таблицы). Раздел 4. Предлагаемые контрмеры (можно в виде таблицы, добавив колонку к таблице из п.4). Выводы | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||