Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Карточка защитной меры
Меры Разработка Плана обучения сотр...
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Разработка Плана обучения сотрудников, участвующих в разработке программного обеспечения

10
Цель: обеспечить системную подготовку сотрудников, вовлечённых в процессы безопасной разработки программного обеспечения, с учетом актуальных инструментов, технологий, процессов и стандартов, применяемых в организации.

Организация получает формализованный план обучения, охватывающий всех участников процесса разработки ПО (разработчиков, архитекторов, тестировщиков, DevOps/DevSecOps, менеджеров), с детализацией по направлениям, форматам обучения, срокам и бюджету.

План позволяет закрыть пробелы в знаниях, обеспечить компетенции по безопасной разработке, поддерживать соответствие требованиям ГОСТ Р 56939-2024, отраслевых стандартов и заказчиков.

План обучения должен включать:
  • Перечень тем, необходимых для изучения (например: безопасная разработка, безопасная архитектура, эксплуатация защищённых библиотек и фреймворков, безопасное взаимодействие с API, криптография, реагирование на инциденты в коде и др.);
  • Актуальные технологии и инструменты, применяемые в организации (например: GitLab CI/CD, SonarQube, IriusRisk, OWASP ZAP, SBOM/Dependency Track);
  • Формы обучения (внутренние семинары, внешние курсы, сертификации, онлайн-платформы);
  • Расписание и продолжительность обучения;
  • Назначенные ответственные лица и обучающиеся;
  • Бюджет и формат контроля прохождения (тестирование, подтверждение сертификации, оценка знаний).

Рекомендации к заполнению карточки меры:
  • Добавить скан-копию утвержденного плана обучения в в  Реестр документов по защите информации (в модуле активов SECURITM),  с меткой ГОСТ Р 56939;
  • Альтернативный вариант ведения плана - в электронной форме в реестре активов SECURITM;
  • Привязать карточку актива к данной мере как артефакт выполнения требования;
  • Добавить шаблон регулярной задачи: например, раз в год — "Пересмотреть и актуализировать план обучения по безопасной разработке";
  • Назначить ответственных: руководитель ИБ, технический директор, HR, руководитель разработки, DevSecOps-лид.
Дополнительно:
План обучения должен быть согласован с HR и соответствовать актуальному стеку технологий организации.
Желательно включить в программу курсы по OWASP Top 10, NIST SSDF, безопасному использованию open source-компонентов, управлению уязвимостями и безопасному дизайну архитектуры.
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено

Для просмотра файла необходимо авторизоваться!

План обучения.docx

Цепочка мер

Последующие меры
Этап 1
1 Ведение учета обучения сотрудников, участвующих в разработке программного обеспечения
2 Повышение осведомленности сотрудников о типовых угрозах и ошибках в процессе разработки ПО

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Отсутствует
Низкие
Отсутствует
0
1
2 - Отсутствует

OPEX

?
Отсутствует
Низкие
Отсутствует
0
1

Связанные риски

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.