Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям AppSec Table Top: методология... Тиражирование практик безопасн...
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Тиражирование практик безопасной разработки

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • PreStageSDL
  • Процесс: Планирование
  • Практика: Стратегия SSDL
  • Инициатива: Тиражирование практик безопасной разработки
    Описание:
    Внедрение практик безопасной разработки не обязательно должно (и далеко не всегда может) происходить одномоментно во всех проектах организации. Для определения стратегии составляются границы тиражирования, где учитываются:
    Границы тиражирования описывают очередность внедрения практик: приоритет отдается приложениям, где риски от уязвимостей наиболее высоки. Процесс тиражирования можно отразить в дорожной карте [SSDL3], где будут описаны динамика, поэтапный подход и условия «подключения» новых приложений и проектов. Целевое состояние может различаться для разных категорий приложений. Для некоторых достаточно базового набора практик и какие-то активности будут избыточными, а для других — необходимыми. Идеальный, но не всегда достижимый сценарий — охват 100%. Реальная картина будет зависеть от ресурсов и ограничений организации.
    Важно помнить, что внедрение БР — это не одноразовая акция, а непрерывный процесс, который может быть оптимизирован [SSDL5]. Процесс тиражирования должен быть гибким, чтобы адаптироваться к изменениям
    в ресурсах, приоритетах и требованиях безопасности.
    Шаги реализации: 
    1. Создать полный список приложений и проектов, которые потенциально могут быть охвачены стратегией БР.
    2. Разделить приложения на группы по типу, назначению, технологическому стеку и другим критериям, которые могут влиять на подход к обеспечению БР.
    3. Распределить приложения по категориям критичности (например, критические, высокой, средней и низкой критичности).
    4. Определить целевое состояние для каждой категории.
    5. Определить последовательность «подключения» приложений к системе БР, начиная с наиболее критичных.
    6. Запланировать поэтапное расширение охвата приложений практиками БР, постепенно повышая общий уровень зрелости SSDL в организации.
    7. Регулярно отслеживать ход внедрения практик и достижение целевых показателей для каждой категории приложений, при необходимости корректировать план тиражирования.
    Зона ответственности: AppSec
    Инструмент: -
    Артефакт: Границы тиражирования
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 - 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.