понедельник, 12 апреля 2021 г.

SSS (Secure Software Standard)

В феврале появилась свежая версия Secure Software Standard (скачать можно по ссылке).

Данная реализация идет на замену стандарту PA DSS, который будет актуален до 2022 года. Краткое ознакомление позволило сформулировать перечень требований, которые указаны ниже. 


  1. Прописанные навыки для каждой роли.

  2. Критерии оценки компетенций персонала.

  3. Ежегодная проверка компетенций.

  4. Подтверждение соответствия требованиям отраслевых стандартов.

  5. Процессы и документация. 

  6. Стратегия безопасной разработки ПО.

  7. Анализ кода.

  8. Наличие показателей эффективности критериев анализа мер безопасности.

  9. Критичные активы выделены и описаны.

  10. Описание рисков и угроз.

  11. Анализ решений с открытым исходным кодом, если применимо.

  12. Регулярное тестирование, анализ и устранение уязвимостей.

  13. Анализ ПО, влияние изменений. 

  14. Поддерживать версионность и контролировать целостность.

  15. Безопасность данных.

  16. Безопасная конфигурация ПО.

  17. Наличие каналов и процессов отслеживания угроз.

  18. Пентетсы и Баг Баунти

  19. SO/IEC 27034 Application Security Guidelines • Building Security In Maturity Model (BSIMM) • OWASP Software Assurance Maturity Model (OpenSAMM) • NIST Special Publication 800-160 and its Appendixes

  20. Иное.


Как видно, есть достаточно пересечений как с PA DSS так и с PCI DSS, но в несколько более широком ключе процессов ориентированных на разработку.