Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Разработка Плана развития процессов разработки безопасного программного обеспечения

1 5

Цель: обеспечить планомерное и приоритетное развитие процессов безопасной разработки программного обеспечения в соответствии с ГОСТ Р 56939-2024, а также иными применимыми стандартами, с учетом возможностей и ресурсов организации

Мера направлена на формирование и поддержание актуального плана развития процессов разработки безопасного ПО.

План должен включать:

очередность внедрения процессов безопасной разработки в рамках жизненного цикла ПО;
приоритеты внедрения в зависимости от степени зрелости организации, критичности ПО, регуляторных требований;
планируемые изменения в организационно-штатной структуре (создание новых ролей, команд, перераспределение ответственности);
планируемые закупки программных инструментов (например, внедрение SAST/DAST/IAST/SBOM/Threat Modeling);
затраты на обучение и развитие сотрудников;
этапы реализации с контрольными точками и ожидаемыми результатами.

Рекомендации по оформлению карточки меры:

добавить скан-копию утвержденного Плана в Реестр документов по защите информации (в модуле активов SECURITM), с меткой ГОСТ Р 56939-2024_5.1.3.3;
в карточке актива указать связь с данной мерой как артефакт выполнения требования;
добавить шаблон регулярной задачи: например, раз в 12 месяцев — “Обновить и пересмотреть план развития процессов безопасной разработки ПО”;
назначить ответственных за поддержание плана в актуальном состоянии: CISO (руководитель по ИБ), архитектор безопасности, AppSec, DevSecOps, руководитель разработки.

Дополнительно:
План должен быть согласован с заинтересованными сторонами: службой ИБ, руководством ИТ, разработкой, юридическим отделом (при наличии обязательных требований, например, регуляторов или отраслевых стандартов).

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Ежегодно

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Пример Плана развития процессов РБПО.docx

Цепочка мер

Разработка Плана реализации процессов разработки безопасного программного обеспечения

Разработка Плана развития процессов разработки безопасного программного обеспечения

Предшествующие меры

№	Этап -1
1					Разработка Плана реализации процессов разработки безопасного программного обеспечения

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Неизвестно	0	1	6 - Низкая
OPEX ^?	Отсутствует	Низкие	Неизвестно	0	1	6 - Низкая

Связанные риски

Ничего не найдено

Заметки

SECURITM

2 недели назад

Community

ПЛАН РАЗВИТИЯ ПРОЦЕССОВ РАЗРАБОТКИ БЕЗОПАСНОГО ПО

1. Общие сведения

Дата разработки: «__»________ 202_г.

Ответственный: ФИО, должность

Основание: Требование 5.1.2.3 ГОСТ Р 56939-2024

2. Цели и приоритеты развития

Целью разработки настоящего плана является формирование целевой модели процессов безопасной разработки программного обеспечения и определение этапов по достижению соответствия требованиям ГОСТ Р 56939-2024 и другим применимым стандартам
(ISO/IEC 27034, NIST SSDF).

3. Очередность внедрения процессов

| Процесс | Приоритет | Планируемый срок внедрения

4. Планируемые изменения в организационно-штатной структуре

Введение роли AppSec-инженера (Планируемая дата реализации)
Назначение ответственного за безопасную разработку в каждой команде разработки (Планируемая дата реализации)

5. Планируемые закупки и инструменты

Инструмент SAST: GitLab Ultimate или SonarQube Enterprise
Инструмент для управления SBOM: CycloneDX, Dependency-Track
Средство обучения: обучающие курсы SecureCodeWarrior

6. Бюджет и обучение

Планируется выделение бюджета на обучение и сертификацию сотрудников (AppSec, DevSecOps): ___ тыс. руб. в год.

7. Этапы реализации и контрольные точки

Q3 2025: Реализация базовых процессов (Threat Modeling, SAST)
Q4 2025: Внедрение SBOM и обучение персонала
Q1–Q2 2026: Доращивание процессов до целевого уровня

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.