Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CIS Critical Security Controls v8 (The 18 CIS CSC)

Framework

16.1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.2.1
6.2.1
Defined Approach Requirements: 
Bespoke and custom software are developed securely, as follows:
  • Based on industry standards and/or best practices for secure development.
  • In accordance with PCI DSS (for example, secure authentication and logging). 
  • Incorporating consideration of information security issues during each stage of the software development lifecycle. 
Customized Approach Objective:
Bespoke and custom software is developed in accordance with PCI DSS and secure development processes throughout the software lifecycle. 

Applicability Notes:
This applies to all software developed for or by the entity for the entity’s own use. This includes both bespoke and custom software. This does not apply to third-party software. 

Defined Approach Testing Procedures:
  • 6.2.1 Examine documented software development procedures to verify that processes are defined that include all elements specified in this requirement. 
Purpose:
Without the inclusion of security during the requirements definition, design, analysis, and testing phases of software development, security vulnerabilities can be inadvertently or maliciously introduced into the production environment. 

Good Practice:
Understanding how sensitive data is handled by the application—including when stored, transmitted, and in memory—can help identify where data needs to be protected. 
PCI DSS requirements must be considered when developing software to meet those requirements by design, rather than trying to retrofit the software later. 

Examples:
Secure software lifecycle management methodologies and frameworks include PCI Software Security Framework, BSIMM, OPENSAMM, and works from NIST, ISO, and SAFECode. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.2.1
A.14.2.1 Политика безопасной разработки 
Мера обеспечения информационной безопасности: Правила разработки программного обеспечения и систем должны быть установлены и применены к разработкам в рамках организации 
A.9.4.5
A.9.4.5 Управление доступом к исходному тексту программы 
Мера обеспечения информационной безопасности: Доступ к исходному тексту программы должен быть ограничен 
A.12.1.4
A.12.1.4 Разделение сред разработки, тестирования и эксплуатации 
Мера обеспечения информационной безопасности: Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 18.1 CSC 18.1 Establish Secure Coding Practices
Establish secure coding practices appropriate to the programming language and development environment being used.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.2.1
6.2.1
Определенные Требования к Подходу:
Программное обеспечение на заказ и на заказ разрабатывается надежно, следующим образом:
  • На основе отраслевых стандартов и/или лучших практик безопасной разработки.
  • В соответствии с PCI DSS (например, безопасная аутентификация и ведение журнала).
  • Учет вопросов информационной безопасности на каждом этапе жизненного цикла разработки программного обеспечения.
Цель Индивидуального подхода:
Индивидуальное и индивидуальное программное обеспечение разрабатывается в соответствии с PCI DSS и безопасными процессами разработки на протяжении всего жизненного цикла программного обеспечения.

Примечания по применению:
Это относится ко всему программному обеспечению, разработанному для организации или для ее собственного использования. Это включает в себя как индивидуальное, так и индивидуальное программное обеспечение. Это не относится к стороннему программному обеспечению.

Определенные Процедуры Тестирования Подхода:
  • 6.2.1 Изучите документированные процедуры разработки программного обеспечения, чтобы убедиться, что определены процессы, включающие все элементы, указанные в этом требовании.
Цель:
Без учета безопасности на этапах определения требований, проектирования, анализа и тестирования разработки программного обеспечения уязвимости безопасности могут быть непреднамеренно или злонамеренно внедрены в производственную среду.

Надлежащая практика:
Понимание того, как конфиденциальные данные обрабатываются приложением, в том числе при хранении, передаче и в памяти, может помочь определить, где данные нуждаются в защите.
Требования PCI DSS необходимо учитывать при разработке программного обеспечения, чтобы оно соответствовало этим требованиям по дизайну, а не пыталось модифицировать программное обеспечение позже.

Примеры:
Методологии и фреймворки безопасного управления жизненным циклом программного обеспечения включают PCI Software Security Framework, BSIMM, OPENSAMM и работы из NIST, ISO и SafeCode.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.4
А.8.4 Доступ к исходному коду
Должен управляться соответствующим  образом доступ к исходному коду, а также к средствам разработки и программным библиотекам.
А.8.25
А.8.25 Жизненный цикл безопасной разработки
Должны быть установлены и применяться правила безопасной разработки программного обеспечения и систем.
А.8.28
А.8.28 Безопасная разработка
При разработке программного обеспечения должны применяться принципы безопасной разработки программного обеспечения.
А.8.31
А.8.31 Разделение сред разработки, тестирования и производства
Должны быть разделены и защищены среды разработки, тестирования и производства.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.28
А.8.28 Secure coding
Secure coding principles shall be applied to software development.
А.8.4
А.8.4 Access to source code
Read and write access to source code, development tools and software libraries shall be appropriately managed.
А.8.25
А.8.25 Secure development life cycle
Rules for the secure development of software and systems shall be established and applied. 
А.8.31
А.8.31 Separation of development, test and production environments
Development, testing and production environments shall be separated and secured.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.