• 晶片資安第一站

軟體安全建構成熟度模型 BSIMM 概論

當企業採購了資安防護方案、設置資安管控流程,該如何評估成效?對於瞬息萬變的網路安全領域來說,很難存在一種恆定不變的評估標準。或許,我們可以換一個角度來思考這個標準:當你的同業都做了這些資安實踐,通常代表你也應該這麼做。

基於這樣的思維,我們有了軟體安全建構成熟度模型(Building Security In Maturity Model,BSIMM)。

什麼是 BSIMM

BSIMM 是一款由新思科技(Synopsys)推出的軟體安全建構成熟度模型,用以讓企業評估自身資訊安全計畫當前的成熟度。從 2008 年開始,新思科技就持續對各領域企業進行調查研究與數據採集工作,並據此建構軟體安全框架(SSF);時至今日,BSIMM 已經更新到第 12 版,受訪企業也從最初的 9 間擴增至 128 間。

作為評估模型,BSIMM 並不會為企業的資訊安全計畫給出任何的分數與評價,而是提供一套描述性的結果讓主管參考:新思科技訪談了百餘間企業高階主管,記錄並統整受訪企業在資安實作的各個面向分別做出哪些實踐 ─ 僅此而已,不多也不少。

最新版的 BSIMM 12 當中收錄了 128 間來自不同垂直市場的組織資料;根據觀察到的結果,此版本的評估模型中共有 122 項資安實踐。隨著軟體開發生態/文化的改變,有些資安實踐在新一波的調查中消失  ─ 它可能是以另一種形式融入現有的開發流程,或是跟現有開發流程有所扞格,因此遭到淘汰。

具體來說,BSIMM 12 將軟體安全框架分為 4 大領域、12 模組與 122 實踐項目:

  • 治理:用於協助組織、管理和評估軟體安全計畫的實踐;人員培養也是一項核心的治理實踐。
    • 戰略和指標
    • 合規性與政策
    • 培訓
  • 情報:用於在企業中彙集企業知識以開展軟體安全活動的實踐。所彙集的這些知識既包括前瞻性的安全指導,也包括組織機構威脅建模。
    • 攻擊模型
    • 安全性功能與設計
    • 標準和要求
  • SSDL 觸點:與分析和保障特定軟體發展工件(artifacts)及流程相關的實踐。所有的軟體安全方法中都包含這些實踐。
    • 架構分析
    • 代碼審查
    • 安全性測試
  • 部署:與傳統的網路安全及軟體維護組織機構打交道的實踐。軟體配置、維護和其他環境問題對軟體安全有直接影響。
    • 滲透測試
    • 軟體環境
    • 配置安全與安全漏洞管理

這些實踐構成了 BSIMM 的基礎,但並不代表其他企業在參考 BSIMM 時,必須亦步亦趨實施裏頭的每一項實踐。舉例來說,BSIMM 模型將能夠在各企業經常觀察到的資安實踐被定義爲 「第1級」、不能經常觀察到的資安實踐定義為爲 「第3級」,但前者通常只意味著它的性價比較高或是實施方便;企業可以按照自己的需求與規劃,逕行決定適合自身的實踐與方案。

總結來說,BSIMM 模型是一把量尺;它讓企業主管得以評估自家的資訊安全計畫,相對於其他企業處於何種位置。一旦確立相對位置,企業就可以據此利用 BSIMM 評估表。

Share:
This site is registered on wpml.org as a development site.