Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Модель угроз и требования

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PreStageSDL
Процесс: Проектирование архитектуры
Практика: Модель угроз и требования
Инициатива: Общая модель угроз
Описание:
Модель угроз — это систематический подход к выявлению и оценке рисков безопасности. Модель представляет собой детальный анализ потенциальных угроз и уязвимостей, которые могут быть использованы злоумышленниками, и последствий от возможных атак.
Процесс моделирования угроз включает в себя:
Идентификацию активов системы.
Определение потенциальных злоумышленников и их целей.
Выявление слабых мест в системе.
Описание возможных векторов атак.
Оценку потенциального ущерба от их реализации.
Результаты моделирования используются для разработки эффективных мер безопасности и снижения рисков до приемлемого уровня.
Шаги реализации:
Определить область применения модели угроз, ее границы и ключевые компоненты.
Определить методологию разрабатываемой модели.
Определить роли, которые будут участвовать в процессе моделирования угроз.
Определить защищаемые активы: данные, компоненты приложения, инфраструктура и т. д.
Распределить активы по уровню критичности: от самых важных до менее важных.
Определить потенциальных злоумышленников — внутренних (сотрудники, контрагенты) и внешних (хакеры, конкуренты, мошенники).
Определить мотивацию каждого типа злоумышленника: финансовая выгода, репутационный ущерб, политические мотивы и т. д.
Провести оценку возможностей злоумышленников: уровень технических знаний, доступ к ресурсам, мотивация.
Выявить слабые места в используемом ПО, операционных системах, сети, политиках доступа, людях.
Провести анализ конфигурации (корректность настройки инфраструктуры и программного обеспечения).
Определить вектор атак — последовательность действий, которые может предпринять злоумышленник, чтобы получить доступ к системе и нанести ущерб.
Описать потенциальные последствия каждой атаки.
Оценить риски: определить вероятность и последствия воздействия каждой атаки, а так же уровень риска (как произведение вероятности и воздействия).
Регулярно обновлять модель угроз с учетом архитектурных и других изменений.
Зона ответственности:ИБ
Инструмент: -
Артефакт: Модель угроз
Инициатива: Моделирование угроз в ЖЦ ПО
Описание:
При анализе рисков важно рассматривать угрозы не только в фазе эксплуатации [TMR1], но и на всех этапах разработки ПО, в том числе и на ранних стадиях.
При выпуске приложений в производственную среду модель угроз должна использоваться для оценки остаточных рисков и для принятия решения о необходимости дополнительных мер безопасности.
Регулярное обновление модели (с учетом изменений в системе, угрожающей среде и используемых злоумышленниками методах) позволит обеспечить постоянную защиту от атак и минимизировать риски для бизнеса.
Шаги реализации:
1. Определить область применения модели угроз, ее границы и ключевые компоненты.
2. Определить методологию разрабатываемой модели.
3. Определить роли, которые будут участвовать в процессе моделирования угроз.
4. Определить защищаемые активы: данные, компоненты приложения, инфраструктура и т. д.
5. Распределить активы по уровню критичности: от самых важных до менее важных.
6. Определить потенциальных злоумышленников — внутренних (сотрудники, контрагенты) и внешних (хакеры, конкуренты, мошенники).
7. Определить мотивацию каждого типа злоумышленника: финансовая выгода, репутационный ущерб, политические мотивы и т. д.
8. Провести оценку возможностей злоумышленников: уровень технических знаний, доступ к ресурсам, мотивация.
9. Выявить слабые места в используемом ПО, операционных системах, сети, политиках доступа, людях.
10. Провести анализ конфигурации (корректность настройки инфраструктуры и программного обеспечения).
11. Определить вектор атак — последовательность действий, которые может предпринять злоумышленник, чтобы получить доступ к системе и нанести ущерб.
12. Описать потенциальные последствия каждой атаки.
13. Оценить риски: определить вероятность и последствия воздействия каждой атаки, а так же уровень риска (как произведение вероятности и воздействия).
14. Регулярно обновлять модель угроз с учетом архитектурных и других изменений.
Зона ответственности: ИБ
Инструмент: -
Артефакт: Модель угроз приложения
Инициатива: Чек-лист внешних регуляторных требований
Описание:
Чек-лист безопасности для организации или отдельного приложения формируется на основе анализа всех применимых регуляторных требований с учетом критичности и категории разрабатываемых продуктов [OAD2]. Его цель — обеспечить соответствие приложения нормативным требованиям и снизить риски безопасности.
Необходимые требования объединяются в один лаконичный документ, который:
- Описывает совокупность всех необходимых требований в одном месте.
- Является ценным инструментом при проектировании архитектуры [TMR4].
- Помогает определить необходимые практики безопасности [SSDL2].
- Упрощает проведение аудитов и мероприятий по проверке соответствия требованиям [VC2].
Шаги реализации:
1. Определить область применения чек-листа: конкретное приложение, вся организация, определенный тип приложений.
2. Определить все применимые регуляторы и требования законодательства.
3. Провести анализ каждого регулятора и составить список актуальных требований к безопасности приложения или организации.
4. Сгруппировать требования по категориям: аутентификация, авторизация, шифрование, безопасность данных, управление уязвимостями и т. д.
5. Объединить похожие требования, чтобы избежать дублирования.
6. Структурировать чек-лист, разбить его на разделы по категориям требований.
7. Сформулировать требования в виде конкретных вопросов или утверждений, на которые можно ответить «да» или «нет».
8. Добавить столбцы для проверки соответствия требованиям (например, «Выполнено», «Не выполнено», «В процессе»).
9. Использовать чек-лист для учета требований (при проектировании, ПСИ или аудитах).
10. Довести документ до сотрудников и разместить на внутреннем портале.
11. Отслеживать изменения в регуляторных требованиях и регулярно обновлять чек-лист.
Зона ответственности: ИБ
Инструмент: -
Артефакт: Чек-лист требований
Инициатива: Требования к инфраструктуре и ПО
Описание:
Базовые требования ИБ устанавливают минимально допустимый уровень защищенности, служат основой для проверок соответствия [VC2] и гарантируют единый подход к обеспечению безопасности. Список требований охватывает всю инфраструктуру, используемое ПО и приложения организации.
Документ включает:
- Общие меры защиты для всей инфраструктуры и ПО.
- Специальные меры, учитывающие специфику конкретных приложений и технологий.
- Разработанные требования рекомендуется объединить с чек-листом регуляторных требований [TMR3].
Шаги реализации:
1. Назначить ответственных за разработку требований ИБ.
2. Изучить существующую документацию (политики, стандарты, регламенты) и особенности процесса разработки.
3. Ознакомиться с лучшими практиками и стандартами ИБ.
4. Определить общие меры защиты, обязательные для всей инфраструктуры и ПО.
5. Конкретно, понятно и измеримо сформулировать требования.
6. Определить дополнительные меры защиты для каждого типа приложений или технологий с учетом их специфики (веб-приложения, мобильные приложения, облачные сервисы).
7. Сгруппировать требования по категориям и области применения.
8. Оформить, согласовать и утвердить требования ИБ в виде официального документа.
9. Довести требования до всех заинтересованных сторон и сделать их выполнение обязательным.
10. Дополнить чек-лист регуляторных требований разработанными требованиями ИБ.
11. Обеспечить контроль выполнения требований и регулярное обновление документа.
Зона ответственности: ИБ/ИТ
Инструмент: -
Артефакт: Чек-лист требований. Требования ИБ к ПО
Инициатива: Меры митигации
Описание:
Меры митигации играют ключевую роль в управлении рисками ИБ. Их основная задача — снизить вероятность реализации угроз и минимизировать потенциальный ущерб для организации. Выбор и реализация мер митигации основываются на результатах моделирования угроз [TMR1] и направлены на противодействие выявленным рискам.
Эффективные меры митигации учитывают специфику организации, особенности ее инфраструктуры, критичность информационных активов и характер потенциальных угроз. Они представляют собой совокупность технических, организационных и административных мероприятий, направленных на:
- Проактивную защиту: устранение уязвимостей, блокирование атак, ограничение доступа к конфиденциальной информации.
- Снижение вероятности реализации рисков: повышение сложности доступа к системам, внедрение многофакторной аутентификации, обучение сотрудников.
- Минимизацию последствий реализации рисков: резервное копирование данных, разработка плана действий при инцидентах ИБ.
Шаги реализации:
1. Проанализировать результаты моделирования угроз для идентификации актуальных рисков.
2. Оценить вероятность реализации каждой угрозы и потенциальный ущерб для организации.
3. Для каждого выявленного риска определить набор мер, направленных на предотвращение, снижение вероятности реализации или минимизацию последствий.
4. Определить план реализации мер митигации: ответственных за реализацию, сроки, ресурсы.
5. Внедрять меры в соответствии с разработанным планом.
6. Периодически проводить аудиты безопасности для оценки эффективности и корректировки мер митигации.
Зона ответственности: ИБ
Инструмент: -
Артефакт: План митигации
Инициатива: Периодический пересмотр требований
Описание:
Изменения в регуляторах и стандартах, эволюция бизнес-целей приложения, модификация стратегии SSDL, появление новых угроз и лучших практик в сфере информационной безопасности требуют постоянного пересмотра и обновления требований. Чтобы быть уверенным в актуальности мер безопасности, необходимо регулярно оценивать и актуализировать существующие требования.
Определение оптимальной периодичности анализа и внедрение этого процесса в стандартные процедуры — ключевые факторы для поддержания эффективной системы ИБ.
Шаги реализации:
Назначить ответственных за анализ и обновление требований ИБ.
Определить какие именно требования будут анализироваться (политики безопасности, стандарты, процедуры) и сформировать перечень объектов защиты, на которые распространяются эти требования (информационные системы, персональные данные, бизнес-процессы).
Установить периодичность анализа, исходя из динамики изменений в сфере ИБ и бизнес-среде.
Определить критерии оценки актуальности требований безопасности.
Разработать шаблоны документов для фиксации результатов анализа и планируемых изменений.
Собрать информацию об изменениях в законодательстве, стандартах, угрозах и лучших практиках.
Проанализировать актуальность текущих требований на основе выбранных критериев.
Разработать предложения по изменению или дополнению требований.
Согласовать и внедрить утвержденные изменения в документацию и процессы обеспечения информационной безопасности.
Оповестить и ознакомить сотрудников с новыми требованиям.
Осуществлять контроль за соблюдением обновленных требований.
По возможности автоматизировать процесс сбора информации об изменениях в сфере ИБ (например, с помощью специализированных сервисов).
Зона ответственности: ИБ
Инструмент: -
Артефакт: Чек-лист требований

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.