Definition und Zweck

BSIMM beschreibt die häufigsten Aktivitäten, die in verschiedenen Software-Sicherheitsinitiativen beobachtet wurden. Durch die Darstellung einer Reihe guter Praktiken hilft es Organisationen, die Reife ihres Software-Sicherheitsprogramms zu messen und sie bei der Verbesserung ihrer Software-Sicherheitshaltung zu unterstützen. Das Ziel ist es, Organisationen greifbare Daten zur Verfügung zu stellen, mit denen sie ihre Sicherheitsbemühungen mit anderen Organisationen vergleichen können, um kontinuierliche Verbesserungen der Softwaresicherheit zu ermöglichen.

Gremien

BSIMM wurde als gemeinsames Projekt von Cigital (jetzt Teil von Synopsys) und Fortify Software (jetzt Teil von Micro Focus) gestartet. Heute wird es von Synopsys beaufsichtigt.

Zuletzt aktualisiert

BSIMM wurde im September 2022 veröffentlicht und seitdem nicht wesentlich aktualisiert.

Gilt für

BSIMM ist branchenspezifisch und kann auf jede Organisation angewendet werden, die sich auf Software-Sicherheit konzentriert. Im Laufe der Zeit hat BSIMM Daten aus verschiedenen Branchen gesammelt, darunter Finanzdienstleistungen, Gesundheitswesen, Technologie und mehr, wodurch seine Beobachtungen und Erkenntnisse in mehreren Sektoren relevant sind.

Kontrollen und Anforderungen

BSIMM ist um 12 Praktiken herum strukturiert, die den Bereich der Software-Sicherheit abdecken. Diese Praktiken bestehen wiederum aus mehreren Aktivitäten. Die 12 Praktiken sind:

1. Strategie und Metriken
2. Kompliance und Richtlinien
3. Architekturanalyse
4. Code-Überprüfung
5. Sicherheitstests
6. Penetrationstests
7. Softwareumgebung
8. Training
9. Kultur und Organisation
10. Vorfallsreaktion und -management
11. Intelligenz und Forschung
12. Betrieb

Jede Praxis ist weiter in eine Reihe von Aktivitäten untergliedert, sodass es insgesamt über 100 verschiedene Aktivitäten gibt, die Organisationen zur Messung ihrer Software-Sicherheitsinitiativen nutzen können.

Bitte beziehen Sie sich auf das offizielle BSIMM-Dokument für eine detaillierte Liste der Kontrollen und Anforderungen.

Audittyp, Häufigkeit und Dauer

BSIMM ist kein herkömmliches Audit-Rahmenwerk, sondern ein Reifegradmodell. Organisationen beauftragen in der Regel BSIMM-Bewerter von Synopsys, um eine Bewertung durchzuführen. Diese Bewertung vergleicht die aktuellen Praktiken der Organisation mit den BSIMM-Daten.

Die Häufigkeit solcher Bewertungen liegt im Ermessen der Organisation, aber es könnte vorteilhaft sein, sie jährlich oder alle zwei Jahre durchzuführen, um Fortschritte zu messen und sich an sich entwickelnde Software-Sicherheitslandschaften anzupassen.

Die Dauer der Bewertung kann variieren, dauert jedoch in der Regel einige Tage bis hin zu ein paar Wochen, je nach Größe und Komplexität der Organisation.