Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Внешние исследования

Для проведения оценки соответствия по документу войдите в систему.

Список требований

PostStageSDL
Процесс: Периодический анализ и тестирование
Практика: Внешние исследования
Инициатива: Баг-баунти
Описание:
Программа вознаграждения за обнаружение ошибок (Bug Bounty) — это инициатива, в рамках которой организация вознаграждает исследователей за обнаружение уязвимостей в продуктах. Bug Bounty поощряет раскрывать уязвимости, а не эксплуатировать их, что повышает защищенность разрабатываемого ПО. Вознаграждение может варьироваться в зависимости от серьезности уязвимости и политики конкретной программы.
Шаги реализации:
Установить цели программы и определить область поиска уязвимостей.
Создать четкие правила и политики программы, включая критерии оценки уязвимостей, процедуры раскрытия и исправления уязвимостей, а также условия вознаграждения.
Выбрать платформу для управления программой Bug Bounty.
Опубликовать информацию о программе на выбранной платформе, включая правила, политики и условия вознаграждения.
Регулярно мониторить активность в программе, отвечать на вопросы исследователей, координировать работу по исправлениям уязвимостей и вносить коррективы в правила и политики программы.
Установить систему выплаты вознаграждений исследователям за обнаруженные уязвимости.
Зона ответственности: Организация
Инструмент: -
Артефакт: -
Инициатива: Внешние аудиты
Описание:
Проведение внешнего аудита может качественно дополнить внутренние проверки безопасности [ISA2]. Привлечение независимых экспертов позволит сэкономить человеческие ресурсы и время, а также получить новый и непредвзятый взгляд на состояние защищенности приложения. Внешние специалисты зачастую обладают большей экспертизой в области аудита безопасности и могут использовать отличные от использующихся в компании методы/инструменты для проведения проверок, что повышает шансы на обнаружение скрытых уязвимостей.
Шаги реализации:
1. Установить цели аудита (соответствие регуляторам, поиск уязвимостей) и определить область проверки (отдельные приложения, вся организация).
2. Выбрать подрядчика.
3. Предоставить необходимую документацию об области проверки.
4. Организовать аудит.
5. Получить отчет о результатах аудита, включая выявленные уязвимости, несоответствия требованиям и рекомендации.
6. Внести необходимые изменения в приложение или процессы для устранения выявленных проблем.
Зона ответственности: Организация
Инструмент: -
Артефакт: Результаты аудита
Инициатива: Внешние пентесты
Описание:
Рекомендуется периодически проводить внешние пентесты с привлечением независимых специалистов в дополнение к внутренним исследованиям [ISA3]. Это позволит получить непредвзятый взгляд на безопасность приложения и использовать новые инструменты/методики для более глубокого анализа.
Шаги реализации:
1. Определить цели пентестов (оценка уровня безопасности, выявление уязвимостей, проверка эффективности мер безопасности) и обозначить область проверки.
2. Найти подрядчика.
3. Провести пентесты согласно методике.
4. Получить отчет о результатах пентестов, включающий выявленные уязвимости, рекомендации по их устранению, а также оценку уровня безопасности приложения.
5. Регулярно проводить такие пенстесты (особенно для наиболее критичных приложений).
Зона ответственности: ИБ/Организация
Инструмент: -
Артефакт: Результаты пентеста

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.