Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Карточка защитной меры
Меры Разработка Плана реализации пр...
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Разработка Плана реализации процессов разработки безопасного программного обеспечения

1 5
Цель: обеспечить организованное внедрение процессов безопасной разработки ПО в рамках жизненного цикла ПО и соответствие ГОСТ Р 56939-2024.

Данная мера направлена на формирование и документирование конкретных этапов, сроков, ответственностей и ресурсов для внедрения процессов безопасной разработки ПО, включая техническую, методологическую и организационную стороны.

План реализации процессов РБПО должен содержать:
  • цели внедрения каждого процесса (например: снижение риска уязвимостей, выполнение требований заинтересованных сторон, соответствие регуляторным требованиям);
  • сроки и контрольные реперные точки (разработка политики, пилотное внедрение, расширение на все команды);
  • этапы внедрения: от проектирования до полной интеграции в жизненный цикл ПО;
  • перечень необходимых ресурсов (инструменты, сотрудники, бюджет, пр.);
  • перечень ответственных лиц.

Рекомендации по оформлению карточки меры:
  • разместить План в Реестр документов по защите информации (в модуле активов SECURITM) с меткой ГОСТ Р 56939-2024_5.1.3.4;
  • установить связь с карточкой меры как с элементом, обеспечивающим выполнение требования;
  • создать шаблон регулярной задачи: например, раз в год - "Пересмотр плана реализации процессов безопасной разработки ПО";
  • назначить ответственных за поддержание плана в актуальном состоянии: CISO, архитектор безопасности, AppSec, DevSecOps, руководитель разработки.
Дополнительно:
План должен быть согласован с заинтересованными сторонами: службой ИБ, руководством ИТ, разработкой, юридическим отделом (при наличии обязательных требований, например, регуляторов или отраслевых стандартов).
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено

Для просмотра файла необходимо авторизоваться!

Пример План реализации требований РБПО.docx

Цепочка мер

Разработка Плана реализации процессов разработки безопасного программного обеспечения
Разработка Плана развития процессов разработки безопасного программного обеспечения
Последующие меры
Этап 1
1 Разработка Плана развития процессов разработки безопасного программного обеспечения

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Отсутствует
Низкие
Средняя
0
Неизвестно
6 - Низкая

OPEX

?
Отсутствует
Низкие
Средняя
0
Неизвестно

Связанные риски

Ничего не найдено

Заметки

1
2 недели назад
Community

ПЛАН РЕАЛИЗАЦИИ ПРОЦЕССОВ РАЗРАБОТКИ БЕЗОПАСНОГО ПО

1. Общие сведения
Дата составления: «__»________ 202_г.

Ответственный: ФИО, должность

Основание: Требование 5.1.2.4 ГОСТ Р 56939-2024

2. Цели внедрения
Повышение защищенности создаваемого программного обеспечения, снижение числа уязвимостей, выполнение требований стандартов (ГОСТ Р 56939-2024, ISO/IEC 27034, NIST SSDF).

3. Этапы и сроки внедрения
 | Процесс | Этапы | Сроки | Ответственные
 
4. Необходимые ресурсы
  • Инструмент SAST: SonarQube Enterprise или аналог
  • Инструмент управления SBOM: Dependency-Track
  • Платформа для threat modeling: IriusRisk
  • Обучение: OWASP
5. Распределение зон ответственности
  • Архитектор безопасности: проектирование и шаблоны процессов
  • DevSecOps-инженер: техническое внедрение в CI/CD
  • AppSec-инженер: сопровождение безопасности компонентов
  • Руководитель разработки: контроль реализации в командах
6. Мониторинг и пересмотр плана
Реализация плана контролируется на ежеквартальной основе в рамках совещаний по ИБ. План подлежит пересмотру раз в год или при изменении организационной структуры, архитектуры ПО, требований регуляторов.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.