6.6 Следует обеспечить защиту
общедоступных веб-приложений
от известных атак (а также
регулярно учитывать новые
угрозы и уязвимости) одним из
следующих методов:
Проверять приложение на
наличие уязвимостей с
использованием методов
ручного или автоматического
анализа защищенности
приложений не реже одного
раза в год, а также после
внесения изменений.
Установить межсетевой экран
прикладного уровня перед веб-
ориентированными
приложениями
Для общедоступных веб-приложений
проверить выполнение одного из следующих
требований:
Убедиться, что анализ (с использованием
методов ручного или автоматического анализа
защищенности приложений) общедоступных веб-
приложений проходит следующим образом:
— не реже одного раза в год;
— после любых изменений;
— организацией, которая специализируется на
безопасности приложений;
— все уязвимости устраняются;
— безопасность приложения анализируется
повторно после принятия корректирующих
действий.
Убедиться, что перед общедоступным веб-
приложением установлен межсетевой экран
прикладного уровня (web application firewall) для
обнаружения и предупреждения веб-
ориентированных атак.
Примечание: “Организация, специализирующаяся
на безопасности приложений” – как внутренняя,
так и сторонняя организация, эксперты которой
специализируются на безопасности приложений и
не зависят от команды разработчиков.