Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Повышение осведомленности сотрудников о типовых угрозах и ошибках в процессе разработки ПО

Цель: сформировать у сотрудников устойчивое понимание типичных угроз, уязвимостей и ошибок в процессе разработки ПО, а также методов их предотвращения.

В организации должны проводиться регулярные мероприятия по повышению осведомленности (вебинары, рассылки, тесты, инструктажи, пр.), ориентированные на реальные угрозы и ошибки, актуальные для конкретного стека технологий и типов ПО, используемых в организации.

По итогам мероприятий должна быть сформирована документация и статистика, подтверждающая участие сотрудников, анализ применимости материалов и осведомленность по ключевым направлениям.

Мероприятия могут включать:

Ежеквартальные рассылки или митапы о новых уязвимостях, ошибках, угрозах;
Обзоры инцидентов в индустрии и внутри Компании с разбором причин;
Обучающие видео или слайды о принципах безопасного программирования;
Вовлечение сотрудников в моделирование угроз, чек-листы по безопасной разработке и пр.;
Распространение практических гайдов (например, по безопасной работе с API, JS, криптографией, пр.).

Результатами анализа существующих материалов (внутренних и внешних) на предмет их применимости для повышения осведомленности, могут быть

Таблица с перечнем материалов (вебинары, курсы, документы);
Оценка применимости: да/нет/частично;
План внедрения в процессы осведомления;
Подтверждение факта проведения мероприятий: приглашения, записи, тесты, анкеты.

Рекомендации к заполнению карточки меры:

Добавить в Реестр документов по защите информации (в модуле активов SECURITM), документ с анализом учебных материалов и форм осведомленности, с меткой ГОСТ Р 56939;
Добавить шаблон регулярной задачи: "Проведение мероприятия по повышению осведомленности сотрудников" — раз в квартал;
Назначить ответственных: HR, DevSecOps, архитектор безопасности, координатор по обучению.

Дополнительно:

Мероприятия по повышению осведомленности должны быть согласованы с направлением ИБ и сопровождаться разбором типичных ошибок в коде, архитектуре, API, безопасности данных.

Используемые материалы могут быть внешними (OWASP, Positive Technologies, SafeCode, ENISA) и внутренними (по результатам аудитов и инцидентов).

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Ежеквартально

Ответственный

Не определено

Инструменты

Не определено

Цепочка мер

Разработка Плана обучения сотрудников, участвующих в разработке программного обеспечения

Повышение осведомленности сотрудников о типовых угрозах и ошибках в процессе разработки ПО

Предшествующие меры

№	Этап -1
1					Разработка Плана обучения сотрудников, участвующих в разработке программного обеспечения

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Низкая	Низкие	Низкая	Неизвестно	Неизвестно	5 - Низкая
OPEX ^?	Низкая	Низкие	Низкая	Неизвестно	Неизвестно	5 - Низкая

Связанные риски

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.