Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Аудиты

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PostStageSDL
Процесс: Периодический анализ и тестирование
Практика: Внутренние исследования
Инициатива: Аудиты
Описание:
Аудит — это формализованный процесс проверки соответствия приложения установленным требованиям и стандартам. Он помогает оценить уровень безопасности, соответствие регуляторным требованиям, а также выявляет слабые места и риски.
Внутренний аудит позволяет провести глубокий анализ, так как аудиторы хорошо знают приложение и могут проверить не только соответствие внешним регуляторам, но и внутренним политикам и регламентам (ОРД).
Для стандартизации и ускорения процесса аудита рекомендуется разработать собственную методику проверки. Необходимо установить оптимальную периодичность аудитов для обеспечения регулярной оценки безопасности приложения. Аудит должен проводиться обязательно для всех приложений, входящих в границы тиражирования [SSDL4], чтобы обеспечить необходимый уровень безопасности для всех критических систем.
Шаги реализации:
1. Установить цели аудита (соответствие регуляторам, поиск уязвимостей) и определить область проверки (отдельные приложения, вся организация).
2. Определить методику аудита (шаги проверки, инструменты, методы анализа).
3. Сформировать группу аудиторов.
4. Собрать необходимую документацию по области проверки.
5. Провести аудит согласно установленной методике.
6. Сформировать отчет о результатах аудита, включающий выявленные уязвимости, несоответствия требованиям и рекомендации.
7. Внести необходимые изменения в приложение или процессы для устранения выявленных проблем.
8. Установить частоту проведения аудитов.
9. Разработать (или дополнить) специфичную методику аудита для ускорения и стандартизации процесса.
10. Сделать аудит обязательным для всех приложений, входящих в границы тиражирования.
Зона ответственности: ИБ
Инструмент: -
Артефакт: Результаты аудита, Методика аудита

Название	Severity	IP	Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111	-	1	-
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111	-	1	-

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.