Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Повышение экспертизы в области AppSec

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Повышение экспертизы
Процесс: Повышение экспертизы
Практика: Повышение экспертизы в области AppSec
Инициатива: Обучение AppSec-специалистов
Описание:
Необходимо регулярно повышать компетенции специалистов по безопасности приложений (AppSec) — отправлять их на специализированные курсы и конференции [TAS3], проводить внутреннее обучение, повышать экспертизу в области разработки. Также стоит организовывать митапы и воркшопы для обмена опытом внутри компании [TAS2]. Постоянное обучение и повышение компетенций специалистов AppSec позволит организации быть в курсе новейших угроз, методов защиты и инструментов безопасной разработки, что в конечном счете повысит уровень защищенности приложений и сократит риски киберугроз. Не стоит забывать и о тимбилдингах — так или иначе там все разговоры неизбежно сводятся к работе.
Шаги реализации:
1. Отправлять AppSec-специалистов на специализированные курсы и конференции.
2. Обеспечивать возможность индивидуального обучения по запросу — доступ к онлайн-курсам и воркшопам.
3. Проводить внутренние тренинги и мастер-классы по AppSec с участием опытных специалистов.
4. Обеспечить полую осведомленность специалистов AppSec о процессах разработки приложений и используемых технологиях.
5. Создать платформу для обмена знаниями и обсуждения актуальных проблем (например, внутренний портал).
6. Создать систему отслеживания уровня компетенций специалистов AppSec и поощрять сотрудников за обучение.
Зона ответственности: Организация
Инструмент: -
Артефакт: -
Инициатива: Митапы внутри компании
Описание:
AppSec-ориентированные встречи внутри компании необходимы для обмена экспертизой, изучения новых подходов, идей и практик, а также для заострения акцента на важности безопасности. На подобные мероприятия стоит приглашать и сотрудников других отделов, чтобы они тоже были в курсе проблем и решений в области безопасности приложений. Это поможет сформировать единую культуру безопасности в организации и улучшить координацию между разными отделами.
Помимо обмена опытом и знаниями, AppSec-встречи также могут служить платформой для обсуждения новых инициатив, проблем и решений в области безопасности приложений.
Важно делать такие встречи регулярными и интересными. Можно приглашать внешних экспертов для выступления, организовывать практические занятия и воркшопы, использовать интерактивные форматы презентаций и дискуссий. И главное, чтобы такие мероприятия были привлекательными — они должны быть юзерфрендли, а не душными :)
Шаги реализации:
Определить формат встреч и разработать интересные активности.
Определить регулярность проведения таких встреч.
Оповещать всех сотрудников о проведении подобных мероприятий, сделать их доступными каждому.
К каждой встрече продумывать план: материалы, выступления, интерактив и время на обсуждение насущных вопросов.
Приглашать внешних AppSec-экспертов для выступлений и обмена опытом.
Следить за тенденциями в области AppSec и регулярно вносить изменения в формат встреч.
Зона ответственности: AppSec
Инструмент: -
Артефакт: -
Инициатива: Участие во внешних конференциях
Описание:
Помимо внутренних мероприятий рекомендуется отправлять сотрудников на внешние конференции, посвященные безопасности. Это позволит обмениваться экспертизой не только внутри компании [TAS2], но и между разными организациями. Слушать коллег из других компаний может быть полезно для того, чтобы оценить свой уровень зрелости в области безопасности и почерпнуть новые идеи. Это также отличный повод обрести новые полезные знакомства в отрасли. Самый высокий уровень развития инициативы — самим стать организаторами подобных мероприятий. Это позволит не только привлечь ведущих ИБ-экспертов, но и укрепить позицию компании как лидера в области кибербезопасности.
Шаги реализации:
1. Составить план участия сотрудников во внешних мероприятиях.
2. Выделить бюджет на регистрацию, проезд, проживание и дополнительные расходы.
3. Поощрять сотрудников за активное участие в конференциях — выступления с докладами, посещение интерактивных секций, обмен опытом с коллегами из других компаний.
4. По результатам конференций формировать фидбек, чтобы грамотнее организовывать такие вылазки и внедрять новые идеи и решения внутри компании.
5. Рассмотреть возможность организации собственной конференции по безопасности.
Зона ответственности: AppSec
Инструмент: -
Артефакт: -
Инициатива: Security Champions
Описание:
Security Champion — это человек, ответственный за безопасность внутри своей команды разработки. Он является лидером в продвижении культуры безопасности, обеспечивает внедрение и применение практик безопасной разработки и служит связующим звеном между сотрудниками ИБ и ИТ. Роль Security Champion'а может исполнять любой сотрудник — разработчик, архитектор, тимлид и т. д. Преимущество в том, что Security Champion хорошо осведомлен о безопасности и обладает более глубокой экспертизой в разрабатываемом приложении, чем сотрудники ИБ, не контактирующих напрямую с кодом.
Шаги реализации:
Идентифицировать сотрудников с высоким уровнем технической экспертизы и интересом к безопасности среди разных ролей — разработчики, архитекторы, тестировщики.
Сформировать роль и определить обязанности Security Champion'а в команде.
Создать документацию с описанием роли, ответственности и ожидаемых результатов.
Построить процесс коммуникации между Security Champion'ом и командой ИБ/AppSec.
Ознакомить сотрудников со всей необходимой документацией по безопасной разработке и провести глубокое обучение принципам AppSec.
Переложить часть обязанностей (например, работа с инструментами и триаж дефектов) на плечи Security Champion'ов.
Поощрять Security Champion'ов за их усилия и вклад в безопасность.
Поддерживать постоянное обучение Security Champion'ов по безопасности.
Зона ответственности: AppSec
Инструмент: -
Артефакт: -

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.