CW3

[VladislavDDP]

Варіант 8 - У документі Топ-10 OWASP 2017 надано рекомендації для організації по впровадженню програми забезпечення безпеки програмних продуктів. Аргументовано перерахуйте сім рекомендацій в порядку зростання можливих фінансових витрат на їх реалізації.

[VladislavDDP]

Відповідно до сторінки _ документу OWASP 2017 https://owasp.org/www-pdf-archive/OWASP_Top_10_2017_GM_%28en%29.pdf нижче наведено рекомендації для організації по впровадженню програми забезпечення безпеки програмних продуктів:

1. Establish an application security program and drive adoption. - Впровадити програму забезпечення безпеки програмних продуктів та забезпечити її впровадження. Ця рекомендація є найменш витратною, оскільки вона не вимагає придбання або використання будь-яких нових інструментів або послуг. Однак вона потребує часу та зусиль для розробки та реалізації програми, а також для навчання та інформування персоналу про неї.
2. Conduct a capability gap analysis comparing your organization to your peers to define key improvement areas and an execution plan. - Провести аналіз прогалин у можливостях, порівнявши вашу організацію з вашими аналогами, щоб визначити ключові області для покращення та план виконання. Ця рекомендація також є відносно недорогою, оскільки вона може бути виконана за допомогою існуючих інструментів та ресурсів. Однак вона може бути трудомісткою, оскільки потребує зібрання та аналізу значної кількості інформації.
3. Gain management approval and establish an application security awareness campaign for the entire IT organization. - Отримати схвалення керівництва та впровадити кампанію з підвищення обізнаності про безпеку програмних продуктів для всієї ІТ-організації. Ця рекомендація також може бути відносно недорогою, оскільки вона може бути виконана за допомогою існуючих інструментів та ресурсів. Однак вона може бути трудомісткою, оскільки потребує розробки та реалізації ефективної кампанії з підвищення обізнаності.
4. Identify the protection needs of your application portfolio from a business perspective. - Визначити потреби в захисті вашого портфеля програмних продуктів з бізнес-перспективи. Ця рекомендація може бути відносно недорогою, оскільки вона може бути виконана за допомогою існуючих інструментів та ресурсів. Однак вона може бути трудомісткою, оскільки потребує детального вивчення бізнес-процесів та вимог до безпеки.
5. Establish a common risk rating model with a consistent set of likelihood and impact factors reflective of your organization's tolerance for risk. - Впровадити загальну модель оцінки ризиків із узгодженим набором факторів імовірності та впливу, що відображають ступінь толерантності вашої організації до ризику. Ця рекомендація може бути відносно дорогою, оскільки вона вимагає придбання або розробки нового інструменту для оцінки ризиків.
6. Establish a set of focused policies and standards that provide an application security baseline for all development teams to adhere to. - Впровадити набір сфокусованих політик і стандартів, які забезпечують базовий рівень безпеки програмних продуктів для всіх команд розробки. Ця рекомендація може бути відносно дорогою, оскільки вона вимагає розробки нових політик і стандартів безпеки.
7. Establish an application security training curriculum that is required and targeted to different development roles and topics. - Впровадити навчальний план з безпеки програмних продуктів, який є обов'язковим і спрямований на різні ролі та теми розробки. Ця рекомендація може бути відносно дорогою, оскільки вона вимагає розробки та реалізації нового навчального плану та програми навчання.

[oleksandrblazhko]

Оцінка = 2 бали