Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Периодический анализ и тестирование

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PostStageSDL
Процесс: Периодический анализ и тестирование
Практика: Внутренние исследования
Инициатива: Анализ защищённости
Описание:
Для проведения исследований безопасности приложения необходимо определить исследовательскую группу сотрудников, ответственных за поиск уязвимостей и слабых мест.
Помимо анализа самого приложения исследования должны включать изучение известных уязвимостей, опыта других организаций, событий в отрасли кибербезопасности и т. д.
Для упорядочения работы исследовательской группы необходимо распределить зоны ответственности между сотрудниками и назначить периодичность проведения исследований. Можно ввести исследовательский комитет с представителями разных отделов для учета разных аспектов безопасности приложения. Однако основными действующими лицами должны быть специалисты по безопасности приложений (AppSec).
Шаги реализации:
Определить роли и структуру группы исследователей и назначить сотрудников, привлечь представителей разных отделов для учета всех аспектов безопасности.
Разделить области ответственности между членами группы.
Разработать методы исследований и выбрать источники информации.
Установить регулярность проведения встреч группы и план действий.
Определить формат отчетов и результатов исследований.
Разработать процесс учета результатов анализа.
Регулярно проводить обучение членов группы.
Зона ответственности: Appsec/ИТ
Инструмент: -
Артефакт: Результаты исследования
Инициатива: Аудиты
Описание:
Аудит — это формализованный процесс проверки соответствия приложения установленным требованиям и стандартам. Он помогает оценить уровень безопасности, соответствие регуляторным требованиям, а также выявляет слабые места и риски.
Внутренний аудит позволяет провести глубокий анализ, так как аудиторы хорошо знают приложение и могут проверить не только соответствие внешним регуляторам, но и внутренним политикам и регламентам (ОРД).
Для стандартизации и ускорения процесса аудита рекомендуется разработать собственную методику проверки. Необходимо установить оптимальную периодичность аудитов для обеспечения регулярной оценки безопасности приложения. Аудит должен проводиться обязательно для всех приложений, входящих в границы тиражирования [SSDL4], чтобы обеспечить необходимый уровень безопасности для всех критических систем.
Шаги реализации:
1. Установить цели аудита (соответствие регуляторам, поиск уязвимостей) и определить область проверки (отдельные приложения, вся организация).
2. Определить методику аудита (шаги проверки, инструменты, методы анализа).
3. Сформировать группу аудиторов.
4. Собрать необходимую документацию по области проверки.
5. Провести аудит согласно установленной методике.
6. Сформировать отчет о результатах аудита, включающий выявленные уязвимости, несоответствия требованиям и рекомендации.
7. Внести необходимые изменения в приложение или процессы для устранения выявленных проблем.
8. Установить частоту проведения аудитов.
9. Разработать (или дополнить) специфичную методику аудита для ускорения и стандартизации процесса.
10. Сделать аудит обязательным для всех приложений, входящих в границы тиражирования.
Зона ответственности: ИБ
Инструмент: -
Артефакт: Результаты аудита, Методика аудита
Инициатива: Внутренние пентесты
Описание:
Пентесты (Penetration Testing) — это метод тестирования на проникновение, имитирующий атаки злоумышленника и позволяющий оценить защищенность приложения путем поиска и эксплуатации уязвимостей.
Цель пентеста — обнаружить в системе слабые места, которые могут привести к недопустимым событиям (несанкционированный доступ к данным, отказ в обслуживании, утечка конфиденциальной информации).
Проведение пентестов внутренними силами организации позволяет провести более глубокий анализ. Следует определить периодичность пентестов и сделать их обязательными для всех приложений, входящих в границы тиражирования [SSDL4]).
Шаги реализации:
1. Определить цели пентестов (оценка уровня безопасности, выявление уязвимостей, проверка эффективности мер безопасности) и обозначить область проверки.
2. Создать методику проведения пентестов — шаги проверки, инструменты, методы анализа.
3. Сформировать группу пентестеров.
4. Провести пентесты согласно установленной методике.
5. Сформировать отчет о результатах пентестов, включающий выявленные уязвимости, рекомендации по их устранению, а также оценку уровня безопасности приложения.
6. Установить частоту проведения пентестов.
7. Сделать пентест обязательным для всех приложений, входящих в границы тиражирования.
Зона ответственности: AppSec
Инструмент: Инструменты пентеста
Артефакт: Результаты пентеста
Практика: Внешние исследования
Инициатива: Баг-баунти
Описание:
Программа вознаграждения за обнаружение ошибок (Bug Bounty) — это инициатива, в рамках которой организация вознаграждает исследователей за обнаружение уязвимостей в продуктах. Bug Bounty поощряет раскрывать уязвимости, а не эксплуатировать их, что повышает защищенность разрабатываемого ПО. Вознаграждение может варьироваться в зависимости от серьезности уязвимости и политики конкретной программы.
Шаги реализации:
Установить цели программы и определить область поиска уязвимостей.
Создать четкие правила и политики программы, включая критерии оценки уязвимостей, процедуры раскрытия и исправления уязвимостей, а также условия вознаграждения.
Выбрать платформу для управления программой Bug Bounty.
Опубликовать информацию о программе на выбранной платформе, включая правила, политики и условия вознаграждения.
Регулярно мониторить активность в программе, отвечать на вопросы исследователей, координировать работу по исправлениям уязвимостей и вносить коррективы в правила и политики программы.
Установить систему выплаты вознаграждений исследователям за обнаруженные уязвимости.
Зона ответственности: Организация
Инструмент: -
Артефакт: -
Инициатива: Внешние аудиты
Описание:
Проведение внешнего аудита может качественно дополнить внутренние проверки безопасности [ISA2]. Привлечение независимых экспертов позволит сэкономить человеческие ресурсы и время, а также получить новый и непредвзятый взгляд на состояние защищенности приложения. Внешние специалисты зачастую обладают большей экспертизой в области аудита безопасности и могут использовать отличные от использующихся в компании методы/инструменты для проведения проверок, что повышает шансы на обнаружение скрытых уязвимостей.
Шаги реализации:
1. Установить цели аудита (соответствие регуляторам, поиск уязвимостей) и определить область проверки (отдельные приложения, вся организация).
2. Выбрать подрядчика.
3. Предоставить необходимую документацию об области проверки.
4. Организовать аудит.
5. Получить отчет о результатах аудита, включая выявленные уязвимости, несоответствия требованиям и рекомендации.
6. Внести необходимые изменения в приложение или процессы для устранения выявленных проблем.
Зона ответственности: Организация
Инструмент: -
Артефакт: Результаты аудита
Инициатива: Внешние пентесты
Описание:
Рекомендуется периодически проводить внешние пентесты с привлечением независимых специалистов в дополнение к внутренним исследованиям [ISA3]. Это позволит получить непредвзятый взгляд на безопасность приложения и использовать новые инструменты/методики для более глубокого анализа.
Шаги реализации:
1. Определить цели пентестов (оценка уровня безопасности, выявление уязвимостей, проверка эффективности мер безопасности) и обозначить область проверки.
2. Найти подрядчика.
3. Провести пентесты согласно методике.
4. Получить отчет о результатах пентестов, включающий выявленные уязвимости, рекомендации по их устранению, а также оценку уровня безопасности приложения.
5. Регулярно проводить такие пенстесты (особенно для наиболее критичных приложений).
Зона ответственности: ИБ/Организация
Инструмент: -
Артефакт: Результаты пентеста

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.