Раздел Повышение экспертизы Методологии безопасной разработки от Positive Technologies

Инициатива: Обучение базовой ИБ-гигиене
Описание:
Обучение всех сотрудников базовым принципам ИБ позволит сократить риски, связанные с внутренним нарушениями, и повысит общую осведомленность о безопасности в организации. Такое обучение, как правило, представляет собой курс и является обязательным для всех сотрудников, в том числе входит в программу онбординга для новичков. Материалы обучения касаются безопасной передачи данных, хранения паролей, фишинга, а также других важных аспектов ИБ.
Шаги реализации:

Определить цели обучения (повышение осведомленности о киберугрозах, сокращение рисков внутренних нарушений).
Разработать программу обучения: продумать темы, формат (онлайн/оффлайн) и материалы (курсы, презентации и т. д.)
Включить обучение в программу онбординга для новых сотрудников.
Сделать обучение обязательным для всех сотрудников организации.
Регулярно обновлять материалы обучения с учетом изменения киберугроз и технологий.

Зона ответственности: ИБ
Инструмент: -
Артефакт: -

Инициатива: Обучение разработчиков безопасному программированию
Описание:
Чтобы сократить количество уязвимостей, возникающих на этапе написания кода, рекомендуется отправлять разработчиков на специализированные курсы, митапы и конференции. Это позволит им узнать о принципах безопасной разработки, ознакомиться с известными уязвимостями и методами тестирования безопасности, а также повысить осведомленность о вредоносных атаках. Обучение поможет разработчикам лучше понимать свою ответственность в обеспечении безопасности и повысит их навыки написания безопасного кода [SC2].
Шаги реализации:

Определить темы обучения разработчиков.
Выбрать формат обучения и его периодичность.
Регулярно обновлять программу обучения в соответствии с появлением новых практик, известных уязвимостей и т. д.
Обновлять регламент безопасного кодирования в соответствии с новыми знаниями разработчиков.
Поощрять разработчиков за самостоятельное изучение безопасного кодирования.
Сделать процесс повышения компетенций обязательным и регулярным.

Зона ответственности: ИТ
Инструмент: -
Артефакт: -

Инициатива: Проведение тестирования
Описание:
Чтобы убедиться в успешном прохождении сотрудниками обучения, рекомендуется внедрить тестирование по пройденному материалу. Тестирование может проводиться как сразу после курсов в качестве итогового экзамена, так и в рамках периодических ассесментов.
Для практики отработки знаний можно ввести киберучения — т. н. учебные тревоги. Например, отправить фишинговое сообщение на почту и посмотреть, как сотрудники отреагируют. Успешное прохождение тестирования может поощряться, что позволит простимулировать сотрудников и даже выявить потенциальных Security Champion'ов [TAS4] (лидеров продвижения культуры безопасности в организации).
Шаги реализации:

Изучить программу обучения и сформировать перечень навыков и знаний, которые будут проверяться.
Проводить итоговые экзамены по окончанию курсов.
Внедрить периодические киберучения для оценки усвоения материала — фишинговые письма, тестовые атаки, имитацию уязвимостей для проверки реакции сотрудников.
Изучить результаты тестирования и киберучений, чтобы выявить пробелы в знаниях и корректировать программу обучения.
Внедрить систему поощрений за успешное прохождение тестов и активное участие в киберучениях.
Регулярно обновлять сценарии тестирования и киберучений в соответствии с актуальными угрозами.
Использовать результаты тестирования как метрику при оценке стратегии и общего уровня безопасности компании.

Зона ответственности: Организация
Инструмент: -
Артефакт: -

Инициатива: Регулярное повышение компетенций
Описание:
При наличии ресурсов рекомендуется постоянно повышать компетенции сотрудников в области ИБ, предоставляя им новые курсы, отправляя на конференции и профессиональные мероприятия. Повышение экспертизы и регулярное обучение позволит увеличить общий уровень зрелости организации, что приведет к росту защищенности разрабатываемых приложений и сокращению рисков, связанных с безопасностью.
Важно также создать культуру постоянного обучения и развития в области ИБ. Это может включать в себя стимулирование сотрудников к самостоятельному изучению новых технологий и методов защиты, создание специальных групп для обмена опытом и знаниями, а также привлечение внешних экспертов для проведения мастер-классов и тренингов.
Шаги реализации:

Разработать план непрерывного повышения экспертизы, включающий новые курсы, конференции, ИБ-мероприятия и др.
Выделять бюджет на обучение сотрудников, включая оплату курсов, командировок и профессиональных материалов.
Сделать обучение доступным для сотрудников, предоставляя доступ к онлайн-курсам, книгам и т. д.
Создать систему стимулирования и поощрения сотрудников за интерес к ИБ.
Организовывать регулярные встречи для обсуждения актуальных проблем безопасности и новых технологий.
Приглашать внешних экспертов для проведения мастер-классов и тренингов.
Создать условия для применения полученных знаний на практике.
Мониторить уровень компетенций сотрудников в области ИБ и при необходимости проводить дополнительные индивидуальные обучения.

Зона ответственности: ИБ
Инструмент: -
Артефакт: -

Практика: Повышение экспертизы в области AppSec

Инициатива: Обучение AppSec-специалистов
Описание:
Необходимо регулярно повышать компетенции специалистов по безопасности приложений (AppSec) — отправлять их на специализированные курсы и конференции [TAS3], проводить внутреннее обучение, повышать экспертизу в области разработки. Также стоит организовывать митапы и воркшопы для обмена опытом внутри компании [TAS2]. Постоянное обучение и повышение компетенций специалистов AppSec позволит организации быть в курсе новейших угроз, методов защиты и инструментов безопасной разработки, что в конечном счете повысит уровень защищенности приложений и сократит риски киберугроз. Не стоит забывать и о тимбилдингах — так или иначе там все разговоры неизбежно сводятся к работе.
Шаги реализации:

Отправлять AppSec-специалистов на специализированные курсы и конференции.
Обеспечивать возможность индивидуального обучения по запросу — доступ к онлайн-курсам и воркшопам.
Проводить внутренние тренинги и мастер-классы по AppSec с участием опытных специалистов.
Обеспечить полую осведомленность специалистов AppSec о процессах разработки приложений и используемых технологиях.
Создать платформу для обмена знаниями и обсуждения актуальных проблем (например, внутренний портал).
Создать систему отслеживания уровня компетенций специалистов AppSec и поощрять сотрудников за обучение.

Зона ответственности: Организация
Инструмент: -
Артефакт: -

Инициатива: Митапы внутри компании
Описание:
AppSec-ориентированные встречи внутри компании необходимы для обмена экспертизой, изучения новых подходов, идей и практик, а также для заострения акцента на важности безопасности. На подобные мероприятия стоит приглашать и сотрудников других отделов, чтобы они тоже были в курсе проблем и решений в области безопасности приложений. Это поможет сформировать единую культуру безопасности в организации и улучшить координацию между разными отделами.
Помимо обмена опытом и знаниями, AppSec-встречи также могут служить платформой для обсуждения новых инициатив, проблем и решений в области безопасности приложений.
Важно делать такие встречи регулярными и интересными. Можно приглашать внешних экспертов для выступления, организовывать практические занятия и воркшопы, использовать интерактивные форматы презентаций и дискуссий. И главное, чтобы такие мероприятия были привлекательными — они должны быть юзерфрендли, а не душными :)
Шаги реализации:

Определить формат встреч и разработать интересные активности.
Определить регулярность проведения таких встреч.
Оповещать всех сотрудников о проведении подобных мероприятий, сделать их доступными каждому.
К каждой встрече продумывать план: материалы, выступления, интерактив и время на обсуждение насущных вопросов.
Приглашать внешних AppSec-экспертов для выступлений и обмена опытом.
Следить за тенденциями в области AppSec и регулярно вносить изменения в формат встреч.

Зона ответственности: AppSec
Инструмент: -
Артефакт: -

Инициатива: Участие во внешних конференциях
Описание:
Помимо внутренних мероприятий рекомендуется отправлять сотрудников на внешние конференции, посвященные безопасности. Это позволит обмениваться экспертизой не только внутри компании [TAS2], но и между разными организациями. Слушать коллег из других компаний может быть полезно для того, чтобы оценить свой уровень зрелости в области безопасности и почерпнуть новые идеи. Это также отличный повод обрести новые полезные знакомства в отрасли. Самый высокий уровень развития инициативы — самим стать организаторами подобных мероприятий. Это позволит не только привлечь ведущих ИБ-экспертов, но и укрепить позицию компании как лидера в области кибербезопасности.
Шаги реализации:

Составить план участия сотрудников во внешних мероприятиях.
Выделить бюджет на регистрацию, проезд, проживание и дополнительные расходы.
Поощрять сотрудников за активное участие в конференциях — выступления с докладами, посещение интерактивных секций, обмен опытом с коллегами из других компаний.
По результатам конференций формировать фидбек, чтобы грамотнее организовывать такие вылазки и внедрять новые идеи и решения внутри компании.
Рассмотреть возможность организации собственной конференции по безопасности.

Зона ответственности: AppSec
Инструмент: -
Артефакт: -

Инициатива: Security Champions
Описание:
Security Champion — это человек, ответственный за безопасность внутри своей команды разработки. Он является лидером в продвижении культуры безопасности, обеспечивает внедрение и применение практик безопасной разработки и служит связующим звеном между сотрудниками ИБ и ИТ. Роль Security Champion'а может исполнять любой сотрудник — разработчик, архитектор, тимлид и т. д. Преимущество в том, что Security Champion хорошо осведомлен о безопасности и обладает более глубокой экспертизой в разрабатываемом приложении, чем сотрудники ИБ, не контактирующих напрямую с кодом.
Шаги реализации:

Идентифицировать сотрудников с высоким уровнем технической экспертизы и интересом к безопасности среди разных ролей — разработчики, архитекторы, тестировщики.
Сформировать роль и определить обязанности Security Champion'а в команде.
Создать документацию с описанием роли, ответственности и ожидаемых результатов.
Построить процесс коммуникации между Security Champion'ом и командой ИБ/AppSec.
Ознакомить сотрудников со всей необходимой документацией по безопасной разработке и провести глубокое обучение принципам AppSec.
Переложить часть обязанностей (например, работа с инструментами и триаж дефектов) на плечи Security Champion'ов.
Поощрять Security Champion'ов за их усилия и вклад в безопасность.
Поддерживать постоянное обучение Security Champion'ов по безопасности.

Зона ответственности: AppSec
Инструмент: -
Артефакт: -

Практика: Внутренний портал

Инициатива: Создание внутреннего портала
Описание:
Внутренний портал по информационной безопасности — это ценный инструмент для агрегации знаний сотрудников, создания платформы для обмена информацией и упрощения процесса обучения. Он также может ускорить работу, предоставляя доступ к необходимой информации в любое время.
Портал может быть реализован в виде внутренней wiki-системы, отдельного сайта или другой подходящей платформы. Важно, чтобы сотрудники знали о возможностях портала и имели к нему доступ — так он станет удобным и доступным ресурсом для всех.
Шаги реализации:

Определить цели портала: обмен знаниями, обучение, информирование, управление рисками.
Определить целевую аудиторию портала: все сотрудники, специалисты по ИБ, разработчики.
Определить структуру и выбрать подходящую платформу для портала.
Создать интуитивно понятный интерфейс и легкую навигацию по порталу.
Обеспечить доступ к порталу всем сотрудникам оповестить их о его наличии.
Регулярно дополнять контент портала новой информацией и ресурсами.
Собирать и учитывать отзывы сотрудников о портале и вносить необходимые коррективы.

Зона ответственности: ИБ
Инструмент: Внутренний портал ИБ
Артефакт: -

Инициатива: Наполнение внутренего портала
Описание:
Необходимо определить участников процесса создания и поддержания портала: ответственных за наполнение портала, редакторов, контрибьюторов и т. д. В идеале — дать возможность делиться знаниями всем сотрудникам. Важно также продумать структуру портала, чтобы она была понятна каждому и помогала быстро найти необходимую информацию.
На портале можно разместить:

Ссылки на ресурсы по информационной безопасности (например, сайты уязвимостей, блоги экспертов, документацию по ИБ-инструментам).

Материалы по безопасности приложений, безопасной работе с данными, фишингу и другим темам.

Записи внутренних мероприятий по безопасности приложений [TAS2].
Документацию по стратегии безопасности приложений, политикам и регламентам организации, прочей ОРД [OAD1] [OAD3] [OAD4].
Лучшие практики, статьи и аналитические материалы.
Информацию о произошедших инцидентах безопасности, их причинах и результатах расследования [MI4].
Вопросы и ответы (FAQ) — список часто задаваемых вопросов и ответов по темам, связанным с информационной безопасностью [TS1].

Важно регулярно обновлять контент портала и делать его интересным и информативным для сотрудников. Кроме того, рекомендуется поощрять активное участие сотрудников в наполнении портала. Например, можно ввести систему баллов за публикации статей, размещение полезных ссылок и активное участие в форуме или чате. Важно, чтобы портал был не только источником информации, но и площадкой для общения и обмена опытом между сотрудниками.
Шаги реализации:

Определить ответственных за наполнение портала: администраторы, редакторы, контрибьюторы.
Разработать план наполнения портала и подготовить необходимые материалы.
Править структуру портала в соответствии с п. 2.
Регулярно дополнять контент портала новой информацией.
Дополнять портал всей документацией процесса разработки, артефактами ИБ и т. д.
Сделать внутренний портал частью процесса безопасной разработки — в роли централизованного и доступного хранилища всей информацией по SSDL.
Поощрять сотрудников за активное участие в жизни портала.

Зона ответственности: ИБ
Инструмент: Внутренний портал ИБ
Артефакт: -

Инициатива: Дополнение информации о приложениях
Описание:
Внутренний портал по ИБ может быть дополнен информацией о разрабатываемом ПО: техническим проектом [TP4], сопроводительной документацией [IA1], технологическим стеком [TP2]. Это позволит централизованно хранить информацию о приложениях и ускорить процесс получения ответов в случае необходимости.
Шаги реализации:

Создать отдельный раздел на портале, посвященный информации о разрабатываемом ПО.
Продумать структуру раздела, удобную для поиска информации.
Создать шаблон описания приложения, например: название, версия, описание функциональности, тех. стек, архитектура, вся документация, контакты и т. д.
Обеспечить доступ к информации всем заинтересованным лицам.
Организовать процесс постоянного обновления информации.
Обучить сотрудников работе с разделом: поиск, обновление информации и др.

Зона ответственности: ИТ/ИБ
Инструмент: Внутренний портал ИБ
Артефакт: -

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Повышение экспертизы

Список требований