Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Определение критериев пересмотра программ обучения по безопасной разработке ПО

Цель: обеспечить актуальность и соответствие программ обучения (курсов, тренингов, внутренних семинаров) потребностям организации, изменениям в технологии, требованиям регуляторов и результатам практики.

По итогам реализации меры будут разработаны и утверждены формальные критерии, при наступлении которых осуществляется пересмотр и обновление программ обучения. Это позволяет обеспечить своевременную адаптацию содержания обучения под реальные угрозы, стек технологий, стандарты и выявленные недостатки.

Критерии пересмотра могут включать:

Появление новых регуляторных требований или обновление ГОСТ Р 56939-2024, NIST SSDF, ISO/IEC 27034 и др.;
Внедрение новых средств и технологий в процесс разработки (CI/CD, фреймворки, библиотеки, DevSecOps-инструменты);
Результаты анализа инцидентов ИБ, аудитов или уязвимостей в разработке;
Низкие оценки по результатам тестов, экзаменов, внутренних проверок;
Поступление обратной связи от участников или руководителей направлений (опросы, анкеты), а также от третьих сторон, являющихся контрагентами / заказчиками Компании;
Плановая переоценка — не реже одного раза в год.

Рекомендации к заполнению карточки меры:

Прикрепить документ с возможными критериями в Модуль активов, реестр «Документы по информационной безопасности», с меткой ГОСТ Р 56939-2024_5.2.2.5;
Привязать карточку к Плану обучения (мера по 5.2.2.2) как механизм контроля актуальности;
Добавить шаблон задачи на ежегодную валидацию критериев и самих программ обучения;
Назначить ответственных: HR, DevSecOps, руководитель ИБ, технический директор.

Дополнительно:

Критерии могут быть встроены в процедуру контроля качества обучения, в том числе с использованием LMS или системы обратной связи. Желательно утвердить документ на уровне руководителя Компании.

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Ежегодно

Ответственный

Не определено

Инструменты

Не определено

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	Неизвестно	Неизвестно	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	Неизвестно	Неизвестно	4 - Низкая

Связанные риски

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.