Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Регулярный анализ процессов разработки безопасного программного обеспечения

1 2

Цель: Обеспечить соответствие процессов разработки программного обеспечения требованиям безопасности, установленным стандартами, включая ГОСТ Р 56939-2024. Выявить отклонения и обеспечить корректирующие действия.

Анализ процессов разработки безопасного программного обеспечения должен включать:

определение реализованных и нереализованных процессов безопасной разработки;
оценку достаточности и соответствия реализованных процессов требованиям ГОСТ Р 56939-2024 и иных применимых стандартов (например, ISO/IEC 27034, OWASP SAMM, NIST SSDF);
учет используемых инструментов (например, SAST, DAST, SBOM-генераторы) и методологий (Agile, DevSecOps и др.).

Результаты должны быть оформлены в виде отчета (артефакта по 5.1.3.1), содержащего:

таблицу реализованных и нереализованных процессов;
оценку полноты реализации;
рекомендации по устранению пробелов;
план корректирующих действий (при необходимости).

Рекомендации по оформлению карточки меры:

добавить скан-копию или PDF отчета анализа в Реестр документов по защите информации (в модуле активов SECURITM), с меткой ГОСТ Р 56939-2024_5.1.3.1;
в карточке актива (отчета) указать связь с данной мерой как артефакт выполнения требования;
добавить шаблон регулярной задачи: например, раз в 6 месяцев – “Провести анализ реализации процессов безопасной разработки ПО в соответствии с ГОСТ Р 56939-2024, п. 5.1.2.1”;
назначить ответственных (например, архитектор безопасности, разработчиков, AppSec, DevSecOps, пр.).

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Ежеквартально

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Пример отчета анализа процессов РБПО.docx

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая

Связанные риски

Ничего не найдено

Заметки

SECURITM

2 недели назад

Community

ОТЧЕТ ПО АНАЛИЗУ ПРОЦЕССОВ РАЗРАБОТКИ БЕЗОПАСНОГО ПО

1. Общие сведения

Дата проведения анализа: «__»________ 202_г.

Ответственный: ФИО, должность

Основание: Требование 5.1.2.1 ГОСТ Р 56939-2024

2. Реализация процессов разработки безопасного ПО

| Наименование процесса | Статус реализации (реалилизован/ не реализован) | Комментарии

3. Оценка соответствия требованиям стандартов

Пример: Проведена оценка реализованных процессов на соответствие требованиям РБПО 2024 и ISO/IEC 27034. В рамках анализа выявлено, что только 50% процессов реализованы полностью. Основные пробелы — отсутствие формализованного подхода к архитектуре безопасности и слабая интеграция SAST.

4. Рекомендации и план корректирующих действий

1. Внедрить процесс проектирования архитектуры с учетом перечня актуальных угроз (до «__»________ 202_г.)

2. Завершить интеграцию SAST в CI/CD(до «__»________ 202_г.)

3. Обновить внутренние стандарты разработки ПО (до «__»________ 202_г.)

5. Приложения

Приложение 1 – Перечень используемых инструментов

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.