Варіант 11:
Серед п'яти бізнес-функцій SAMM-моделі можна виділити такі як управління (Governance)
та проектування (Design).
Покажіть можливі логічні зв'язки між завданнями, які пропонують три практики безпеки
першої функції та три практики безпеки другої функцій.
Будуть використані позначення G - governance, D - design для зменшення кількості однакового тексту.
Практики безпеки цих 2 бізнес-функцій досить тісно взаємопов'язані, зокрема:
1) G-Create & Promote та D-Software Requirements: Для створення security roadmap та зацікавлення стейкхолдерів необхідно чітко знати усі вимоги до захисту даних та самого застосунку.
2) G-Training & Awareness та D-Architecture Design: Ефективне використання стандартизованої архітектури потребує високого рівня обізнаності розробників, які працюють в команді. Досягнення високого рівня безпеки через слідування кращим практикам можливе лише у випадку, коли кожен член команди добре знає цю архітектуру(тренований) та чітко розуміє що роблять інші.
3) G-Organization & Culture та D-Technology Management: безпека застосунку значною мірою залежить від бепечності бібліотек та фреймворків, які використовуються в ньому. Перевірка цього параметра потребує високого рівня організації та наявності окремих людей, які за це відповідають.
4) G-Compliance Management та D-Threat Modeling: Для відповідності певним нормам безпеки команді, яка розробляє застосунок необхідно бути якомога більше обізнаними стосовно існуючих атак та ризиків для безпеки застосунку. Низький рівень оцінки загрози може призвести до катастрофічних наслідків, як це було з SolarWinds https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know.
5) G-Policy and Standards та D-Application Risk Profile: Оцінка найбільших загроз для організації дозволяє на основі цих даних розробити стандарти, яким необіхідно слідувати для мінімізації можливості критичного порушення безпеки. Слідування стандартам дозволяє значною мірою понизити ризик, що протягом довгого часу може запобігти великій кількості інцидентів з безпекою.
6) G-Measure and Improve та D-Threat Modelling: Оцінка рівня безпеки та покращення системи можливе лише при наявності чіткого розуміння можливих небезпек, та їх прогнозуванні.
7) G-Policy & Standards та D-Supplier Security: немає сенсу вводити стандарти та процедури, якщо одна, або декілька ланок системи ними не користуються (в даному випадку це може бути Supplier). Необхідно чітко аналізувати відповідність сервісів, які використовує застосунок, стандартам компанії, а у випадку невідповідності - шукати альтернативу.
oleksandrblazhko
commented
1 year ago
Варіант 11: Серед п'яти бізнес-функцій SAMM-моделі можна виділити такі як управління (Governance) та проектування (Design). Покажіть можливі логічні зв'язки між завданнями, які пропонують три практики безпеки першої функції та три практики безпеки другої функцій.
Будуть використані позначення G - governance, D - design для зменшення кількості однакового тексту.
Практики безпеки цих 2 бізнес-функцій досить тісно взаємопов'язані, зокрема:
1) G-Create & Promote та D-Software Requirements: Для створення security roadmap та зацікавлення стейкхолдерів необхідно чітко знати усі вимоги до захисту даних та самого застосунку.
2) G-Training & Awareness та D-Architecture Design: Ефективне використання стандартизованої архітектури потребує високого рівня обізнаності розробників, які працюють в команді. Досягнення високого рівня безпеки через слідування кращим практикам можливе лише у випадку, коли кожен член команди добре знає цю архітектуру(тренований) та чітко розуміє що роблять інші.
3) G-Organization & Culture та D-Technology Management: безпека застосунку значною мірою залежить від бепечності бібліотек та фреймворків, які використовуються в ньому. Перевірка цього параметра потребує високого рівня організації та наявності окремих людей, які за це відповідають.
4) G-Compliance Management та D-Threat Modeling: Для відповідності певним нормам безпеки команді, яка розробляє застосунок необхідно бути якомога більше обізнаними стосовно існуючих атак та ризиків для безпеки застосунку. Низький рівень оцінки загрози може призвести до катастрофічних наслідків, як це було з SolarWinds https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know.
5) G-Policy and Standards та D-Application Risk Profile: Оцінка найбільших загроз для організації дозволяє на основі цих даних розробити стандарти, яким необіхідно слідувати для мінімізації можливості критичного порушення безпеки. Слідування стандартам дозволяє значною мірою понизити ризик, що протягом довгого часу може запобігти великій кількості інцидентів з безпекою.
6) G-Measure and Improve та D-Threat Modelling: Оцінка рівня безпеки та покращення системи можливе лише при наявності чіткого розуміння можливих небезпек, та їх прогнозуванні.
7) G-Policy & Standards та D-Supplier Security: немає сенсу вводити стандарти та процедури, якщо одна, або декілька ланок системи ними не користуються (в даному випадку це може бути Supplier). Необхідно чітко аналізувати відповідність сервісів, які використовує застосунок, стандартам компанії, а у випадку невідповідності - шукати альтернативу.