Куда я попал?
Разработка Плана обучения сотрудников, участвующих в разработке программного обеспечения
Цель: обеспечить системную подготовку сотрудников, вовлечённых в процессы безопасной разработки программного обеспечения, с учетом актуальных инструментов, технологий, процессов и стандартов, применяемых в организации.
Организация получает формализованный план обучения, охватывающий всех участников процесса разработки ПО (разработчиков, архитекторов, тестировщиков, DevOps/DevSecOps, менеджеров), с детализацией по направлениям, форматам обучения, срокам и бюджету.
План позволяет закрыть пробелы в знаниях, обеспечить компетенции по безопасной разработке, поддерживать соответствие требованиям ГОСТ Р 56939-2024, отраслевых стандартов и заказчиков.
План обучения должен включать:
- Перечень тем, необходимых для изучения (например: безопасная разработка, безопасная архитектура, эксплуатация защищённых библиотек и фреймворков, безопасное взаимодействие с API, криптография, реагирование на инциденты в коде и др.);
- Актуальные технологии и инструменты, применяемые в организации (например: GitLab CI/CD, SonarQube, IriusRisk, OWASP ZAP, SBOM/Dependency Track);
- Формы обучения (внутренние семинары, внешние курсы, сертификации, онлайн-платформы);
- Расписание и продолжительность обучения;
- Назначенные ответственные лица и обучающиеся;
- Бюджет и формат контроля прохождения (тестирование, подтверждение сертификации, оценка знаний).
Рекомендации к заполнению карточки меры:
- Добавить скан-копию утвержденного плана обучения в в Реестр документов по защите информации (в модуле активов SECURITM), с меткой ГОСТ Р 56939;
- Альтернативный вариант ведения плана - в электронной форме в реестре активов SECURITM;
- Привязать карточку актива к данной мере как артефакт выполнения требования;
- Добавить шаблон регулярной задачи: например, раз в год — "Пересмотреть и актуализировать план обучения по безопасной разработке";
- Назначить ответственных: руководитель ИБ, технический директор, HR, руководитель разработки, DevSecOps-лид.
Дополнительно:
План обучения должен быть согласован с HR и соответствовать актуальному стеку технологий организации.
Желательно включить в программу курсы по OWASP Top 10, NIST SSDF, безопасному использованию open source-компонентов, управлению уязвимостями и безопасному дизайну архитектуры.
Область действия: Вся организация
Классификация
Тип
Организационная
?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено
Для просмотра файла необходимо авторизоваться!
План обучения.docx
Разработка Плана обучения сотрудников, участвующих в разработке программного обеспечения
Последующие меры
| № | Этап 1 | ||||
|---|---|---|---|---|---|
| 1 | Ведение учета обучения сотрудников, участвующих в разработке программного обеспечения | ||||
| 2 | Повышение осведомленности сотрудников о типовых угрозах и ошибках в процессе разработки ПО |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.