Modell zur Reife von Sicherheit beim Aufbau (BSIMM)
Das Modell zur Reife von Sicherheit beim Aufbau (BSIMM) ist ein datengestütztes Modell, das einen tiefen Einblick in Sicherheitsinitiativen für Software bietet. BSIMM ist kein Standard oder eine Checkliste, sondern eine Reflexion der derzeit in realen Software-Sicherheitsprogrammen beobachteten Praktiken. Durch die Bewertung der Sicherheitsinitiativen mehrerer Organisationen bietet BSIMM eine Benchmark zum Vergleich und zur Steuerung von Software-Sicherheitspraktiken.
Fordern Sie eine Demo der benutzerdefinierten Frameworks von Secureframe anDefinition und Zweck
BSIMM beschreibt die häufigsten Aktivitäten, die in verschiedenen Software-Sicherheitsinitiativen beobachtet wurden. Durch die Darstellung einer Reihe guter Praktiken hilft es Organisationen, die Reife ihres Software-Sicherheitsprogramms zu messen und sie bei der Verbesserung ihrer Software-Sicherheitshaltung zu unterstützen. Das Ziel ist es, Organisationen greifbare Daten zur Verfügung zu stellen, mit denen sie ihre Sicherheitsbemühungen mit anderen Organisationen vergleichen können, um kontinuierliche Verbesserungen der Softwaresicherheit zu ermöglichen.
Gremien
BSIMM wurde als gemeinsames Projekt von Cigital (jetzt Teil von Synopsys) und Fortify Software (jetzt Teil von Micro Focus) gestartet. Heute wird es von Synopsys beaufsichtigt.
Zuletzt aktualisiert
BSIMM wurde im September 2022 veröffentlicht und seitdem nicht wesentlich aktualisiert.
Gilt für
BSIMM ist branchenspezifisch und kann auf jede Organisation angewendet werden, die sich auf Software-Sicherheit konzentriert. Im Laufe der Zeit hat BSIMM Daten aus verschiedenen Branchen gesammelt, darunter Finanzdienstleistungen, Gesundheitswesen, Technologie und mehr, wodurch seine Beobachtungen und Erkenntnisse in mehreren Sektoren relevant sind.
Kontrollen und Anforderungen
BSIMM ist um 12 Praktiken herum strukturiert, die den Bereich der Software-Sicherheit abdecken. Diese Praktiken bestehen wiederum aus mehreren Aktivitäten. Die 12 Praktiken sind:
- Strategie und Metriken
- Kompliance und Richtlinien
- Architekturanalyse
- Code-Überprüfung
- Sicherheitstests
- Penetrationstests
- Softwareumgebung
- Training
- Kultur und Organisation
- Vorfallsreaktion und -management
- Intelligenz und Forschung
- Betrieb
Jede Praxis ist weiter in eine Reihe von Aktivitäten untergliedert, sodass es insgesamt über 100 verschiedene Aktivitäten gibt, die Organisationen zur Messung ihrer Software-Sicherheitsinitiativen nutzen können.
Bitte beziehen Sie sich auf das offizielle BSIMM-Dokument für eine detaillierte Liste der Kontrollen und Anforderungen.
Audittyp, Häufigkeit und Dauer
BSIMM ist kein herkömmliches Audit-Rahmenwerk, sondern ein Reifegradmodell. Organisationen beauftragen in der Regel BSIMM-Bewerter von Synopsys, um eine Bewertung durchzuführen. Diese Bewertung vergleicht die aktuellen Praktiken der Organisation mit den BSIMM-Daten.
Die Häufigkeit solcher Bewertungen liegt im Ermessen der Organisation, aber es könnte vorteilhaft sein, sie jährlich oder alle zwei Jahre durchzuführen, um Fortschritte zu messen und sich an sich entwickelnde Software-Sicherheitslandschaften anzupassen.
Die Dauer der Bewertung kann variieren, dauert jedoch in der Regel einige Tage bis hin zu ein paar Wochen, je nach Größe und Komplexität der Organisation.