Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Категоризация ИС

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PreStageSDL
Процесс: Планирование
Практика: Организационно-распорядительная документация
Инициатива: Категоризация ИС
Описание:
Методика ранжирования ПО обеспечивает структурированную классификацию приложений по уровню критичности и их категоризацию на основе определенных критериев и особенностей (влияние на бизнес, обрабатываемые данные, количество пользователей и т. д.). Данный подход служит инструментом для целенаправленного применения стратегии безопасной разработки и ее поэтапного тиражирования [SSDL4], а также способствует повышению осведомленности сотрудников о специфике разрабатываемых приложений. Четкое понимание характеристик, критичности и потенциальных рисков, связанных с каждым приложением, позволяет сосредоточить усилия на наиболее уязвимых местах и принять оптимальные решения для обеспечения
безопасности.
Информация, полученная в результате ранжирования, может быть включена в паспорт системы [IA1] для обеспечения централизованного хранения и доступа к данным о профилях безопасности приложений.
Шаги реализации:
1. Четко сформулировать цели классификации приложений: оптимизация ресурсов на безопасность, приоритизация внедрения практик SSDL и т. д.
2. Определить критерии, на основе которых будет проводиться ранжирование.
3. Разработать шкалу критичности: низкий, средний, высокий, критический уровень и т. п.
4. Описать характеристики приложений, соответствующие каждому уровню критичности.
5. При необходимости разработать дополнительные категории для группировки приложений по специфике (фронтенд/бэкенд, мобильные/веб-приложения и др.).
6. Формализовать и задокументировать методику ранжирования как пошаговую инструкцию по оценке и классификации приложений.
7. Определить ответственных за проведение ранжирования.
8. Протестировать методику на небольшом количестве приложений для выявления недостатков и корректировки.
9. Провести обучение сотрудников по применению методики.
10. Осуществить ранжирование всех приложений, подпадающих под действие стратегии БР.
11. Включить информацию о критичности приложений в паспорт системы.
12. Довести информацию до сотрудников и разместить ее на внутреннем портале.
13. Использовать данные ранжирования при планировании и реализации мероприятий по обеспечению безопасности разработки.
14. Периодически пересматривать и актуализировать методику с учетом изменений в бизнесе, технологиях и требованиях безопасности.
Зона ответственности: AppSec
Инструмент: -
Артефакт: Методика критичности/ приоритизации приложений

Название	Severity	IP	Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111	-	1	-
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111	-	1	-

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.