7.4.3.4. Организационная модель команды, ролевой состав, ответственность, компетенции и обучение

7.4.3.4. Организационная модель команды, ролевой состав,

ответственность, компетенции и обучение

В рамках задачи организационного обеспечения в части формирования команды проекта необходимо определить роли и обязанности участников жизненного цикла ОО, а также определить организационную модель команды, ролевой состав, ответственность, компетенции и обучение.

Ниже приведено базовое определение ролей, связанных с обеспечением информационной безопасности:

- роль аналитика ИБ (может являться специалистом по ИБ прикладного программного обеспечения и приложений, также может именоваться "Application Security", "AppSec" - обычно роль выполняет сотрудник подразделения информационной безопасности и защиты информации);

- роль Security Champion, сформированная внутри команды разработчиков для специалиста с высокой осведомленностью в вопросах обеспечения информационной безопасности, имеющего также определенные компетенции в области безопасности прикладного программного обеспечения и принципов безопасной разработки.

Базовое определение ролей и компетенций, необходимых для выполнения контрольных мероприятий безопасности, представлено в таблице 2.

Таблица 2. Базовое определение ролей

Роль	Контрольные мероприятия безопасности	Задача жизненного цикла	Необходимые компетенции
Аналитик ИБ	Определение требований ИБ к ОО	Задача "Формирование требований к ОО"	Владение риск-ориентированным подходом при анализе рисков нарушения информационной безопасности, знание актуальных рисков, уязвимостей, атак, принципов, методов и средств обеспечения ИБ, требований и лучших практик обеспечения ИБ, понимание безопасного жизненного цикла ОО и лучших практик гибких подходов к разработке, внедрению и тестированию, знание принципов, методов и средств обеспечения ИБ, уязвимостей ПО, методов проведения атак, умение работать с инструментальными средствами безопасности. Умение собирать и анализировать информацию о событиях безопасности, поступающую из различных источников, участие в разработке правил выявления инцидентов информационной безопасности
	Анализ рисков нарушения информационной безопасности	Задача "Формирование требований к ОО"
	Требования ИБ и меры для минимизации рисков	Задача "Формирование требований к ОО"
	Разработка и выбор архитектурных и проектных решений по информационной безопасности в соответствии с требованиями к ОО	Задача "Архитектура и проектирование ОО"
	Анализ проектных и архитектурных решений на соответствие требованиям ИБ, мониторинг выполнения требований ИБ в предложенной реализации ОО	Задача "Архитектура и проектирование ОО"
	Уточнение используемого при разработке ОО проектного решения, уточнение проекта архитектуры программы и доработка соответствующего требования по безопасности, предъявляемого к ПО	Задача "Архитектура и проектирование ОО"
	Проверка соответствия требованиям ИБ стороннего программного обеспечения	Задача "Архитектура и проектирование ОО"
	Анализ проектной документации	Задача "Архитектура и проектирование ОО"
	Документирование проектных решений по ИБ	Задача "Архитектура и проектирование ОО"
Аналитик ИБ	Анализ коммерческих и открытых программных модулей на наличие уязвимостей	Задача "Реализация (разработка) ОО"
Аналитик ИБ	Анализ кода, компонентов на соответствие ИБ	Задача "Реализация (разработка) ОО"
Аналитик ИБ	Разработка решений по ИБ для ОО	Задача "Реализация (разработка) ОО"
Аналитик ИБ	Разработка автоматизированных тестов по безопасности	Задача "Реализация (разработка) ОО"
	Обеспечение контроля целостности всего программного кода и размещение доступных механизмов для контроля в соответствующих средах	Задача "Реализация (разработка) ОО"
	Статический анализ кода на уязвимости ИБ перед фиксацией изменений в исходном коде	Задача "Реализация (разработка) ОО"
	Статический анализ кода на уязвимости ИБ	Задача "Реализация (разработка) ОО"
Аналитик ИБ	Проведение контролей ИБ (security controls)	Задача "Реализация (разработка) ОО"
Аналитик ИБ	Проверки соответствия требованиям ИБ до размещения их в базы знаний и репозитории разработки	Задача "Тестирование ОО"
Аналитик ИБ	Определение требований к проведению тестов ИБ и подготовка плана тестирования	Задача "Тестирование ОО"
Security Champion	Динамическое тестирование защищенности ОО	Задача "Тестирование ОО"
	Проведение автоматизированного тестирования безопасности	Задача "Тестирование ОО"
	Фаззинг-тестирование	Задача "Тестирование ОО"
Security Champion	Проведение интеграционного тестирования с сервисами СОИБ	Задача "Тестирование ОО"
Аналитик ИБ/Security Champion	Разработка эксплуатационной документации с учетом аспектов безопасности	Задача "Тестирование ОО"
Security Champion	Контроль корректности версий и целостности ОО	Задача "Подготовка и перенос ОО в промышленную эксплуатацию"
Security Champion	Тестирование на проникновение	Задача "Подготовка и перенос ОО в промышленную эксплуатацию"
Security Champion	Резервное копирование каждого выпуска ОО и всех его компонентов	Задача "Подготовка и перенос ОО в промышленную эксплуатацию"
Security Champion	Проверка соответствия выполнения требований ИБ проектной и эксплуатационной документации	Задача "Подготовка и перенос ОО в промышленную эксплуатацию"
Security Champion	Тестирование безопасности системы управления конфигурациями	Задача "Эксплуатация и сопровождение ОО"
	Мониторинг ОО на наличие уязвимостей	Задача "Эксплуатация и сопровождение ОО"
	Периодический пересмотр, анализ и тестирование кода ОО для выявления ранее не обнаруженных уязвимостей	Задача "Эксплуатация и сопровождение ОО"
Аналитик ИБ/Security Champion	Контроль соблюдения правил и процедур обеспечения ИБ при выводе из эксплуатации ОО	Задача "Эксплуатация и сопровождение ОО"
Security Champion	Архивирование информации, содержащейся в ОО	Задача "Эксплуатация и сопровождение ОО"
Аналитик ИБ/Security Champion	Уничтожение данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации	Задача "Вывод из эксплуатации ОО"

Разработчику необходимо обеспечить подготовку и повышение компетенций сотрудников (как по конкретным ролям, так и для всей команды проекта). Также необходимо обеспечить периодический пересмотр и актуализацию учебных программ.

При необходимости создаются новые роли и изменяются обязанности для существующих ролей в рамках безопасного жизненного цикла разработки DevSecOps. Разработчику необходимо осуществлять периодический пересмотр состава ролей и их обязанностей.

7.4.3.3. Особенности обеспечения безопасности инфраструктур разработки и тестирования 7.4.3.5. Задача "Формирование требований к ОО"