Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Риски и метрики

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PreStageSDL
Процесс: Проектирование архитектуры
Практика: Риски и метрики
Инициатива: Выбор метрик
Описание:
Анализ метрик позволяет выявить сильные и слабые стороны в жизненном цикле разработки ПО, определить зоны развития и своевременно оптимизировать процессы.
Для определения целей использования метрик важно разделять их по областям применения:
- Бизнес-метрики [RM2]: отражают влияние технологий на бизнес-показатели (ROI, Time to Market и др.).
- Метрики стратегии [SSDL5]: показывают прогресс в реализации стратегии безопасной разработки (например, количество уязвимостей, найденных на разных этапах).
- Операционные метрики: характеризуют эффективность эксплуатации систем (время простоя, количество инцидентов и т. д.).
Метрики должны быть релевантными, измеримыми и собираемыми.
Шаги реализации:
1. Сформировать цели и задачи для сбора метрик, обозначить области применения: эффективность разработки, безопасность продуктов, ROI и т. д.
2. Определить, кому будут транслироваться метрики: руководству, разработчикам, AppSec-специалистам.
3. Подобрать метрики, соответствующие выбранным целям и задачам.
4. Сформировать перечень метрик для каждой области применения.
Зона ответственности: AppSec
Инструмент: -
Артефакт: Перечень метрик
Инициатива: Оценка рисков
Описание:
Анализ рисков разрабатываемого приложения/системы проводится на основе бизнес-метрик [RM1] и результатов моделирования угроз [TMR1].
В компании должен быть реализован процесс риск-менеджмента и сформирован перечень недопустимых событий. Это позволит оценить экономическое влияние и эффективность стратегии SSDL [SSDL5] и при необходимости внести изменения.
Шаги реализации:
1. Определить контекст и цели оценки рисков: какое приложение/система анализируется и какие решения будут приняты на основе анализа.
2. Собрать данные о бизнес-метриках и результаты моделирования угроз.
3. Определить методологию оценки рисков.
4. Связать бизнес-метрики с угрозами, рассчитать потенциальный ущерб от реализации угроз и их вероятность.
5. Ранжировать риски по степени их влияния на бизнес.
6. Выявить недопустимые события и разработать план по их минимизации.
7. Разработать рекомендации по улучшению процессов БР с учетом полученных результатов анализа.
8. Разработать артефакты, отражающие результаты анализа (графики, диаграммы, таблицы, отчеты с выводами и рекомендациями и т. д.)
Зона ответственности: AppSec
Инструмент: -
Артефакт: Перечень недопустимых событий. Оценка критичности приложений
Инициатива: Определение подходов к сбору метрик
Описание:
После определения перечня необходимых метрик [RM1] необходимо разработать план их сбора и определить, откуда и как можно получить данные для расчета. Источники могут быть различными: внутренние (системы контроля версий, баг-трекеры, логи), внешние (отзывы пользователей, аналитика), а также собранные вручную данные (опросы, экспертные оценки).
Для автоматизации сбора можно использовать специальные инструменты:
- cистемы мониторинга;
- инструменты автоматического анализа (например, SAST [SPA3]);
- оркестратор [SPA6] и т. д.
Важно определить, на каких этапах жизненного цикла разработки или эксплуатации системы целесообразнее собирать данные для метрик:
- на этапе проектирования можно оценивать инфраструктурные мощности и риски [RM2];
- на этапе разработки — количество ошибок в коде;
- на этапе эксплуатации — доступность системы и инциденты [MI4].
Шаги реализации:
1. Для каждой метрики определить их тип (временные, текстовые, числовые), источники данных и доступность.
2. Выбрать и настроить инструменты для автоматизации сбора, исходя из источников и формата данных.
3. Разработать и задокументировать процесс сбора и обработки данных для каждой метрики, указав ответственных, периодичность и методику сбора.
4. Стандартизировать форматы данных, чтобы их можно было легко объединять и анализировать.
5. Периодически анализировать процесс сбора метрик на предмет корректности данных и эффективности работы инструментов сбора.
Зона ответственности: AppSec
Инструмент: ASOC
Артефакт: -
Инициатива: Анализ метрик
Описание:
Регулярный анализ собранных метрик (особенно данных о дефектах, инцидентах и экономических показателях) играет ключевую роль в развитии системы информационной безопасности. Проведение периодических ретроспектив позволяет оценить эффективность предпринимаемых мер и скорректировать стратегию.
В ходе ретроспективы важно проанализировать:
Динамику: наблюдается ли прогресс в уменьшении количества дефектов/инцидентов и в снижении ущерба?
Сильные и слабые стороны: какие процессы и практики работают эффективно, а какие требуют улучшения?
Эффективность инструментов: насколько хорошо инструменты SSDL помогают выявлять и предотвращать проблемы?
Корреляцию между метриками: есть ли связь между внедрением конкретных практик и изменениями в метриках?
Результаты ретроспективы служат фундаментом для принятия взвешенных решений: корректировки стратегии SSDL [SSDL5] и оптимизации бюджета на ИБ. Также само мероприятие повышает осведомленность сотрудников, помогает донести до них значимость БР и формирования культуры безопасности.
Шаги реализации:
1. Определить периодичность проведения ретроспектив.
2. Сформировать команду экспертов, включая представителей ИБ, разработчиков, тестировщиков и руководство.
3. Сформировать отчеты по всем ключевым метрикам за выбранный период.
4. Определить формат проведения: рабочая встреча, презентация, онлайн-дискуссия.
5. Оценить динамику метрик: позитивные и негативные изменения.
6. Проанализировать эффективность процессов и инструментов.
7. Выявить корреляцию между метриками и предпринятыми действиями: какие изменения привели к положительным или негативным сдвигам.
8. Разработать план и определить конкретные задачи по улучшению процессов разработки и SSDL.
Зона ответственности: Организация
Инструмент: -
Артефакт: -

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.