Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Определение перечня внедряемых практик

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PreStageSDL
Процесс: Планирование
Практика: Стратегия SSDL
Инициатива: Определение перечня внедряемых практик
Описание:
Для внедрения безопасной разработки формируется перечень необходимых практик. Он составляется на основе анализа:
- Целевого состояния SSDL [SSDL1]: желаемый уровень зрелости процессов БР.
При выборе практик важно учитывать покрытие слабых мест компании, специфику разработки, особенности принятых процессов, а также возможности с точки зрения бюджета, времени и компетенций.
Сформированный перечень практик служит основой для составления дорожной карты [SSDL3] по внедрению БР. Важно отметить, что этот перечень не статичен и может корректироваться по мере развития организации и изменения требований к безопасности [SSDL5].
Шаги реализации:
1. Изучить требования к безопасности, заложенные в ТЗ и (или) ТТ проекта.
2. Определить специфические требования к безопасности, связанные с обработкой данных, средой эксплуатации, законодательными нормами.
3. Составить перечень практик безопасности, которые уже применяются в организации.
4. Оценить степень их формализации, покрытие этапов разработки и эффективность.
5. Изучить описание целевого уровня зрелости процессов БР.
6. Определить, какие практики необходимы для достижения этого уровня.
7. Сформировать полный список практик, релевантных для организации.
8. Оценить риски, связанные с каждой практикой (например, стоимость внедрения, сложность, влияние на сроки разработки).
9. Учесть специфику разработки и ограничения: актуальность для компании, технологический стек, доступные ресурсы.
10. Сформировать итоговый документ с описанием выбранных практик, их приоритетом, обоснованием выбора, а также планом по их внедрению (дорожная карта).
11. Запланировать периодический пересмотр и корректировку перечня внедряемых практик с учетом изменений в бизнесе, технологиях, угрозах и других факторах.
Зона ответственности: AppSec
Инструмент: -
Артефакт: -

Название	Severity	IP	Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111	-	1	-
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111	-	1	-

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.