Заготовка для описания концепции безопасности продукта - sergey-sobolev/cyberimmune-systems GitHub Wiki
Название продукта / решения
Назначение документа
Этот документ пишется бизнес-заказчиком и должен описывать именно бизнес-потребности для различных типов пользователей (ролей) и верхнеуровневые ограничения, которые не являются частью решения. Текст документа должен быть написан простым понятным языком и не содержать сложных терминов и технических подробностей, если они не являются критически важными для дальнейшей проработки решения.
Этот документ используется как отправная точка для более глубокой технической проработки аналитиком и архитектором для формулировки целей и предположений безопасности, негативных сценариев.
Краткое описание назначения и применения продукта
Ценности продукта и неприемлемые события в их отношении
| Ценность | Неприемлемые события | Комментарий |
|---|---|---|
| Конфиденциальные данные клиента | неавторизованный доступ | оборотный штраф |
Верхнеуровневые сценарии (режимы) работы продукта
Для редактирования онлайн в ссылке замените /plantuml/png на /plantuml/uml и перейдите по изменённой ссылке, после изменения диаграммы замените ссылку в документе.
Роли пользователей
| Роль | Описание | Комментарий |
|---|---|---|
| Заказчик | размещает заказ | должен предварительно зарегистрироваться |
Контекст работы системы
- Внешние по отношению к продукту сервисы и программы, с которыми он может взаимодействовать, расположенные на устройстве, внутри локальной сети, на внешних ресурсах
- Планируемое место расположения продукта и меры ограничения доступа к продукту
- По умолчанию описывается в текстовом виде, но если заказчик умеет рисовать диаграммы, контекстная диаграмма тут тоже подойдёт
Опционально - аппаратная платформа
- сведения о целевой аппаратной платформе, если есть важные ограничения
- по умолчанию описывается в текстовом виде, но если заказчик умеет рисовать диаграммы, обобщённая диаграмма развёртывания тут тоже подойдёт