| Фырезки правил, как обезопасить себя и свой софт: Пароли не должны пересылаться электронной почтой в незашифрованном виде.
Пароли, не должны пересылаться открытым текстом по сети в незашифрованном виде.
Пароли нельзя хранить в открытом виде на доступных запоминающих устройствах.
Пароли никогда не должны быть константой, хранящейся внутри программы (жестко закодированной).
Память, используемая для дешифрования и проверки паролей, должна очищаться nocлe завершения работы. При проектировании и развертывании программного обеспечения собственной разработки в нем должны применяться идентификация и авторизация, которые базируются на встроенных в операционную систему, базу данных или в системы сервисного программного обеспечения алгоритмах. Данные, используемые для тестирования, должны создаваться на основе реальных данных, чтобы полностью имитировать реальную ситуацию. Перед использованием данных из них необходимо удалить секретную или патентованную информацию. Насколько возможно, необходимо исключить продажу или перепродажу программного обеспечения, разработанного для организации сторонним разработчиком. Также не должна распространяться документация на это программное обеспечение. Отдел кадров, бухгалтерия и другие административные системы должны быть физически отделены от основной сети, чтобы таким образом управлять входящими и исходящими потоками информации в этих системах. Для обеспечения групповыми именами доступных внутренних систем необходимо следующее: служба сетевых имен должна обеспечить пользователей Internet условными именами, понятными для внутренних систем, а достоверные имена присвоить пользователям для работы во внутренней сети организации. Адреса внутренней сети организации должны оставаться скрытыми. Когда системы запрашивают доступ к другим сетям, скрытые адреса перед передачей должны быть преобразованы в легальные зарегистрированные адреса. Архивные и резервные данные не должны шифроваться. Секретные данные должны храниться в соответствии с предписаниями правил. Все данные должны классифииироваться согласно их применению. Критериями должны служить соображения конфиденциальности данных, место их размещения и способ пересылки. После шифрования данных все исходные данные нужно удалитъ или необходимо уничтожить носители, на которых они записаны. Оперативная и внешняя память, используемые в процессе шифрования, также должны быть тщательно вытерты nocлe завершения работы. Все материалы, используемые при генерировании криптографических ключей, должны быть уничтожены после их использования. Вся память и внешние запоминающие устройства должны быть тщательно вытерты или уничтожены физически. Криптографические ключи могут быть раскрыты только по требованию правовых органов. Ключи не должны храниться на том же диске, где находятся защищенные данные. При любом управлении открытый ключ/асимметричные криптографические ключи не должны пересылаться с помощью той же сети, через которую пересылаются зашифрованные данные. Все симметричные криптографические ключи необходимо заменять физически, а не пересылать их по какой-либо сети. На всех пользовательских системах еще до того, как они будут подключены к сети, следует установить программное обеспечение для защиты от вирусов. Пользователи должны содействовать обновлению этого программного обеспечения, а также не должны отключать эти средства. Если антивирусное программное обеспечение по каким-то причинам отключено, например, по причине установки нового программного обеспечения, то пользователю необходимо провести полное сканирование системы перед ее использованием. Антивирусное программное обеспечение должно устанавливаться и конфигурироваться во всех сетевых системах организации таким образом, чтобы гарантировать постоянное сканирование на предмет поиска вирусов, а также периодически обновляться по указанию администраторов. Все системы, подключенные к сети организации, должны подвергаться периодической общей проверке, чтобы выявлять зараженные вирусами операционные системы и вспомогательное программное обеспечение. Период между проверками не должен превышать одного месяца (30 дней). Пользователи, загружающие какие-либо данные или программы с внешнего носителя, должны перед загрузкой сканировать этот носитель на предмет наличия на нем вирусов. Разработка программного обеспечения не должна осуществляться без составления утвержденных спецификаций. В эти спецификации дагжны быть включены требования безопасности программного обеспечения и конфиденциальности собираемых и обрабатываемых данных.
В любом программном обеспечении должна контролироваться и квитоваться вводимая пользователем информация независимо от выходных результатов.
В программном обеспечении следует установить контроль предельных значений данных, пересылаемых в блоки памяти и извлекаемых из них, чтобы предотвратить перезапись секретных данных и программ. Нельзя инсталлировать (и даже делать попытки инсталляции) программное обеспечение демонстрационных программ, в котором имеются "лазейки" или любые другие точки доступа, позволяющие обойти защиту программного обеспечения.
Нельзя инсталлировать (и даже делать попытки инсталляции) программное обеспечение, в которое включены особые привилегии для доступа в него разработчиков. Во всех разработках программного обеспечения необходимо использовать один язык программирования, согласованный на этапе проектирования.
| 