Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 18.6

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
16.9
16.9 Train Developers in Application Security Concepts and Secure Coding
Ensure that all software development personnel receive training in writing secure code for their specific development environment and responsibilities. Training can include general security principles and application security standard practices. Conduct training at least annually and design 
16.3
16.3 Perform Root Cause Analysis on Security Vulnerabilities
Perform root cause analysis on security vulnerabilities. When reviewing vulnerabilities, root cause analysis is the task of evaluating underlying issues that create vulnerabilities in code, and allows development teams to move beyond just fixing individual vulnerabilities as they arise. 
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
16.9
16.9 Проводится обучение разработчиков практикам безопасной разработки программного обеспечения
Разработчики проходят обучение по информационной безопасности раз в год или чаще.
В командах поддерживается культура безопасной разработки.
16.3
16.3 Реализовано выполнение анализа первопричин уязвимостей прикладного программного обеспечения
Найдены глубинные причины уязвимостей, которые позволяют уменьшить количество критичных замечаний по безопасности. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.2.2
6.2.2
Defined Approach Requirements: 
Software development personnel working on bespoke and custom software are trained at least once every 12 months as follows:
  • On software security relevant to their job function and development languages.
  • Including secure software design and secure coding techniques
  • Including, if security testing tools are used, how to use the tools for detecting vulnerabilities in software. 
Customized Approach Objective:
Software development personnel remain knowledgeable about secure development practices; software security; and attacks against the languages, frameworks, or applications they develop. Personnel are able to access assistance and guidance when required. 

Defined Approach Testing Procedures:
  • 6.2.2.a Examine software development procedures to verify that processes are defined for training of software development personnel developing bespoke and custom software that includes all elements specified in this requirement. 
  • 6.2.2.b Examine training records and interview personnel to verify that software development personnel working on bespoke and custom software received software security training that is relevant to their job function and development languages in accordance with all elements specified in this requirement. 
Purpose:
Having staff knowledgeable in secure coding methods, including techniques defined in Requirement 6.2.4, will help minimize the number of security vulnerabilities introduced through poor coding practices. 

Good Practice:
Training for developers may be provided in-house or by third parties. 
Training should include, but is not limited to, development languages in use, secure software design, secure coding techniques, use of techniques/methods for finding vulnerabilities in code, processes to prevent reintroducing previously resolved vulnerabilities, and how to use any automated security testing tools for detecting vulnerabilities in software. 
As industry-accepted secure coding practices change, organizational coding practices and developer training may need to be updated to address new threats. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.2.1
A.14.2.1 Политика безопасной разработки 
Мера обеспечения информационной безопасности: Правила разработки программного обеспечения и систем должны быть установлены и применены к разработкам в рамках организации 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.2.2
6.2.2
Определенные Требования к Подходу:
Персонал по разработке программного обеспечения, работающий над индивидуальным и заказным программным обеспечением, проходит обучение не реже одного раза в 12 месяцев следующим образом:
  • О безопасности программного обеспечения, относящегося к их должностным функциям и языкам разработки.
  • Включая безопасную разработку программного обеспечения и безопасные методы кодирования
  • В том числе, если используются инструменты тестирования безопасности, как использовать инструменты для обнаружения уязвимостей в программном обеспечении.
Цель Индивидуального подхода:
Персонал, занимающийся разработкой программного обеспечения, по-прежнему хорошо осведомлен о методах безопасной разработки, безопасности программного обеспечения и атаках на языки, фреймворки или приложения, которые они разрабатывают. Персонал может получить доступ к помощи и руководству, когда это необходимо.

Определенные Процедуры Тестирования Подхода:
  • 6.2.2.a Изучить процедуры разработки программного обеспечения, чтобы убедиться, что определены процессы для обучения персонала по разработке программного обеспечения, разрабатывающего индивидуальное и индивидуальное программное обеспечение, включающее все элементы, указанные в этом требовании.
  • 6.2.2.b Изучите записи об обучении и опросите персонал, чтобы убедиться, что персонал по разработке программного обеспечения, работающий над индивидуальным и заказным программным обеспечением, прошел обучение по безопасности программного обеспечения, соответствующее их должностным функциям и языкам разработки, в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Наличие персонала, знающего методы безопасного кодирования, включая методы, определенные в требовании 6.2.4, поможет свести к минимуму количество уязвимостей в системе безопасности, возникающих из-за недостатка компетенций или практики.

Надлежащая практика:
Обучение для разработчиков может проводиться как собственными силами, так и третьими сторонами.
Обучение должно включать, но не ограничивается, используемые языки разработки, безопасный дизайн программного обеспечения, методы безопасного кодирования, использование методов/методов для поиска уязвимостей в коде, процессы предотвращения повторного введения ранее устраненных уязвимостей и как использовать любые автоматизированные средства тестирования безопасности для обнаружения уязвимостей в программном обеспечении.
По мере изменения общепринятых в отрасли методов безопасного кодирования может потребоваться обновление организационных методов кодирования и обучения разработчиков для устранения новых угроз.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.28
А.8.28 Безопасная разработка
При разработке программного обеспечения должны применяться принципы безопасной разработки программного обеспечения.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
14.2.1
14.2.1 Политика безопасной разработки

Мера обеспечения ИБ
Правила разработки программного обеспечения и систем должны быть установлены и применены к разработкам в рамках организации.

Руководство по применению
Безопасная разработка - это требование для создания безопасного сервиса, архитектуры, программного обеспечения и системы. В рамках политики безопасной разработки должны быть учтены следующие аспекты:
  • a) безопасность среды разработки;
  • b) руководство по безопасности в жизненном цикле разработки программного обеспечения:
  1. безопасность в методологии разработки программного обеспечения;
  2. правила по безопасному программированию для каждого используемого языка программирования;
  • c) требования безопасности на этапе проектирования;
  • d) контрольные точки по проверке безопасности в рамках основных этапов проекта;
  • e) безопасные репозитории;
  • f) безопасность в управлении версиями;
  • g) необходимые знания по безопасности приложений;
  • h) способность разработчиков избегать, находить и исправлять уязвимости.
Методы безопасного программирования должны применяться как в отношении новых разработок, так и в случае повторного использования кода, при разработке которого использованы неизвестные стандарты или использованные стандарты не соответствуют лучшим практикам. Следует рассмотреть и, в случае необходимости, сделать обязательными для применения стандарты безопасного программирования. Разработчики должны быть обучены применению этих стандартов и тестированию, а анализ кода должен служить проверкой их использования.
Если разработка осуществляется на аутсорсинге, организация должна получить гарантии того, что внешняя сторона соблюдает правила по безопасной разработке (см. 14.2.7).

Дополнительная информация
Разработка также может вестись внутри самих приложений, например в офисных приложениях, скриптах, браузерах и базах данных.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.28
А.8.28 Secure coding
Secure coding principles shall be applied to software development.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.