Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Технический проект

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PreStageSDL
Процесс: Проектирование архитектуры
Практика: Технический проект
Инициатива: Определение технологического стека
Описание:
При выборе инструментов необходимо учитывать не только функциональные требования (ТЗ/ТТ), но и требования к безопасности инфраструктуры и ПО [TMR4]. Важно анализировать уязвимости и риски, связанные с каждым компонентом стека, а также возможности их интеграции с системами безопасности.
Документирование и стандартизация технологического стека — важный шаг к построению эффективной и безопасной системы разработки. Стандартизация упрощает:
- Внедрение практик БР [SSDL2] и определение единых требований.
- Анализ защищенности: оценка рисков и уязвимостей становится более структурированной и эффективной.
- Взаимодействие команд: общий технологический стек облегчает коммуникацию и понимание процессов разработки.
Шаги реализации:
1. Проанализировать требования, существующие процессы и используемые инструменты.
2. Сформировать предварительный перечень инструментов и возможных решений для каждого этапа жизненного цикла ПО (разработка, тестирование, развёртывание и т. д.)
3. Оценить технические характеристики и аспекты безопасности инструментов.
4. Оценить стоимость внедрения и поддержки различных вариантов.
5. Провести анализ рисков безопасности и убедиться, что выбранные инструменты имеют достаточный уровень защиты и соответствуют требованиям организации.
6. Разработать меры по минимизации рисков — например, настройку безопасных конфигураций.
7. Создать документ, описывающий стандартный технологический стек, с указанием версий инструментов, конфигураций и рекомендаций по использованию.
8. Описать процессы обновления стека и добавления новых инструментов.
9. Внедрить процессы контроля за использованием утвержденных инструментов и соблюдением стандартов.
10. Регулярно пересматривать и актуализировать технологический стек с учетом новых технологий, изменений в требованиях безопасности и обратной связи от команд разработки.
Зона ответственности: ИТ
Инструмент: -
Артефакт: Технологический стек
Инициатива: Порядок контроля используемого ПО
Описание:
Политика использования ПО определяет критерии отбора допустимых программ, процедуры одобрения нового ПО и правила работы с компонентами с открытым исходным кодом. Цель — исключить или минимизировать использование ПО, которое может представлять угрозу безопасности.
Порядок контроля использования ПО охватывает весь жизненный цикл программного обеспечения в организации. Необходимо учитывать не только технологический стек [TP1], но и все компоненты разработки — от операционных систем до библиотек с открытым кодом [SCA5]. При этом важна не только инвентаризация, но и классификация ПО по его критичности, уровню доверия и другим параметрам.
Для эффективного контроля рекомендуется внедрение соответствующих инструментов:
- Систем управления активами (ITAM).
- Систем контроля версий [GF1].
- Средств мониторинга безопасности [MI3].
Эти инструменты помогают автоматизировать инвентаризацию, отслеживание лицензий, управление уязвимостями и реагирование на инциденты.
Шаги реализации:
1. Провести анализ всего ПО, используемого в организации: операционные системы, серверное ПО, приложения, библиотеки, фреймворки, компоненты с открытым исходным кодом (OSS) и др.
2. Классифицировать ПО по типу, критичности для бизнеса, уровню доверия.
3. Создать реестр с описанием каждой компоненты: название, версия, разработчик, назначение, место использования, информация о поддержке и лицензии.
4. Утвердить перечень допустимого ПО и определить критерии отбора: уровень безопасности, наличие поддержки, лицензионная чистота и т. д.
5. Установить процедуру одобрения нового ПО: кто и на основании каких критериев может одобрять использование ПО, не входящего в утвержденный перечень.
6. Разработать правила использования ПО с открытым исходным кодом (OSS): оценка рисков, проверка лицензий, контроль уязвимостей.
7. На основе предыдущих пунктов сформировать политику использования ПО, при необходимости дополнив ее информацией о мерах безопасности при работе с компонентами.
8. Довести политику до сотрудников и разместить на внутреннем портале.
9. Внедрить инструменты контроля используемого ПО: инвентаризация, отслеживание лицензий, мониторинг безопасности и др.
10. Анализировать данные о выявленных уязвимостях и инцидентах безопасности для своевременного принятия мер по их устранению.
Зона ответственности: ИТ
Инструмент: -
Артефакт: Политика использования ПО
Инициатива: Определение CI/CD-конвейера
Описание:
Только при наличии зрелого и налаженного DevOps-процесса можно говорить об успешном внедрении DevSecOps и интеграции безопасности в каждый этап разработки. В основе эффективного DevOps лежит автоматизация и минимизация рутинных работ.
Ключевым элементом является построение CI/CD-конвейера, что включает:
- Внедрение системы контроля качества и безопасности на каждом этапе [VC1].
- Разделение окружений (Dev, Test, Prod) для изоляции каждого этапа.
- Документирование всех процессов и инструментов [OAD5] для обеспечения прозрачности и поддерживаемости.
Шаги реализации:
1. Определить цели и задачи внедрения CI/CD.
2. Определить методологию разработки, этапы, требования безопасности и необходимые меры контроля на каждом этапе.
3. Определить технологический стек.
4. Настроить инструменты: репозитории кода, системы контроля версий и т. д.
5. Создать пайплайны CI/CD для автоматизации этапов сборки, тестирования и развёртывания.
6. Настроить окружения (Dev, Test, Prod) и процесс автоматического перемещения кода между ними.
7. Задокументировать все этапы и процессы CI/CD-конвейера.
8. Довести информацию до сотрудников и разместить ее на внутреннем портале.
9. Отслеживать ключевые метрики CI/CD-конвейера (время сборки, частота развертывания, количество ошибок и уязвимостей) и при необходимости вносить коррективы.
Зона ответственности: ИТ
Инструмент: -
Артефакт: Артефакты процесса разработки
Инициатива: Формирование безопасной архитектуры
Описание:
На этапе проектирования важно принять во внимание устойчивость системы к атакам и меры обеспечения безопасности данных. Архитектура должна учитывать все требования [TMR4], принципы безопасной разработки, используемый технологический стек [TP1], методологию и распределение сред [TP3].
Ключевые принципы проектирования безопасной архитектуры:
- Безопасность по умолчанию: система должна быть максимально защищена «из коробки».
- Глубокая защита: использование нескольких уровней защиты для предотвращения несанкционированного доступа.
- Минимизация поверхности атаки [CNFG1]: ограничение количества открытых портов, сервисов и интерфейсов.
- Принцип наименьших привилегий [AC2]: предоставление пользователям и процессам только тех прав доступа, которые необходимы для выполнения их функций.
Эти принципы должны быть заложены в самом начале и учитываться при принятии всех архитектурных решений.
Результатом проектирования становится технический проект — документ, подробно описывающий архитектуру системы, технологический стек, подходы к управлению данными, концепцию обеспечения безопасности, результаты анализа безопасности и меры по минимизации рисков.
Шаги реализации:
1. Проанализировать требования к архитектуре: функциональные, требования ИБ и т. д.
2. Проанализировать ограничения и особенности приложения/системы: архитектура, технологический стек, совместимость компонент стека.
3. Сформировать проект архитектуры с учетом всех требований, ограничений и принципов безопасности.
4. Провести первичный анализа архитектуры.
5. Разработать технический проект, включающий результаты анализа безопасности, а также описание стека, механизмов безопасности и ответственных.
6. Проводить периодический анализ и при необходимости пересматривать архитектуру.
Зона ответственности: ИТ/AppSec
Инструмент: -
Артефакт: Технический проект

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.