Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Порядок контроля используемого ПО

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PreStageSDL
Процесс: Проектирование архитектуры
Практика: Технический проект
Инициатива: Порядок контроля используемого ПО
Описание:
Политика использования ПО определяет критерии отбора допустимых программ, процедуры одобрения нового ПО и правила работы с компонентами с открытым исходным кодом. Цель — исключить или минимизировать использование ПО, которое может представлять угрозу безопасности.
Порядок контроля использования ПО охватывает весь жизненный цикл программного обеспечения в организации. Необходимо учитывать не только технологический стек [TP1], но и все компоненты разработки — от операционных систем до библиотек с открытым кодом [SCA5]. При этом важна не только инвентаризация, но и классификация ПО по его критичности, уровню доверия и другим параметрам.
Для эффективного контроля рекомендуется внедрение соответствующих инструментов:
- Систем управления активами (ITAM).
- Систем контроля версий [GF1].
- Средств мониторинга безопасности [MI3].
Эти инструменты помогают автоматизировать инвентаризацию, отслеживание лицензий, управление уязвимостями и реагирование на инциденты.
Шаги реализации:
1. Провести анализ всего ПО, используемого в организации: операционные системы, серверное ПО, приложения, библиотеки, фреймворки, компоненты с открытым исходным кодом (OSS) и др.
2. Классифицировать ПО по типу, критичности для бизнеса, уровню доверия.
3. Создать реестр с описанием каждой компоненты: название, версия, разработчик, назначение, место использования, информация о поддержке и лицензии.
4. Утвердить перечень допустимого ПО и определить критерии отбора: уровень безопасности, наличие поддержки, лицензионная чистота и т. д.
5. Установить процедуру одобрения нового ПО: кто и на основании каких критериев может одобрять использование ПО, не входящего в утвержденный перечень.
6. Разработать правила использования ПО с открытым исходным кодом (OSS): оценка рисков, проверка лицензий, контроль уязвимостей.
7. На основе предыдущих пунктов сформировать политику использования ПО, при необходимости дополнив ее информацией о мерах безопасности при работе с компонентами.
8. Довести политику до сотрудников и разместить на внутреннем портале.
9. Внедрить инструменты контроля используемого ПО: инвентаризация, отслеживание лицензий, мониторинг безопасности и др.
10. Анализировать данные о выявленных уязвимостях и инцидентах безопасности для своевременного принятия мер по их устранению.
Зона ответственности: ИТ
Инструмент: -
Артефакт: Политика использования ПО

Название	Severity	IP	Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111	-	1	-
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111	-	1	-

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.