Документация/Руководство администратора/Соответствие

Соответствие

Два параллельных представления покрытия по одним и тем же данным обучения. Представление OWASP оценивает Ваш персонал по четырём семействам OWASP Top 10. Регуляторное представление оценивает то же обучение по внешним стандартам (PCI DSS, ISO/IEC 27001, SOC 2), сопоставляя каждый элемент управления с базовыми CWE.

Где это находится

Боковая панель → Соответствие в разделе Обзор, по адресу /organization/compliance. У страницы две вкладки сверху: OWASP и Регуляторное. Обе вкладки используют один и тот же движок расчёта; они отличаются только тем, какой набор фреймворков показан.

Как рассчитывается покрытие

Имеющий право пользователь — это любой активный участник организации, чья роль не org_admin. Пользователь считается обученный по теме, если у него есть хотя бы одна попытка практики с баллом ≥ проходной балл (70) в течение последнего окно (365 дней). Элемент риска — модуль OWASP или регуляторный элемент управления — переключается в статус covered, когда процент имеющих право пользователей, обученных по нему, пересекает порог покрытия Вашей организации, по умолчанию 80% и настраиваемый между 50 и 100 в Настройки организации.

Элементы риска, у которых ещё нет контента (сопоставленные с CWE, для которой у нас пока нет учебной темы), сообщают статус no-content, поэтому они видны как известный пробел, а не оцениваются против Вашего персонала.

Вкладка OWASP

Одна панель на семейство — Web, API, Mobile, Client-Side. Каждая панель показывает общий процент покрытия фреймворка и средний балл сверху, затем разбивку по модулям ниже со статусом (covered / partial / no-activity / no-content), числом обученных пользователей и средним баллом. Нажмите на модуль, чтобы углубиться в составляющие его темы и CWE, которые адресует каждая тема.

Регуляторная вкладка

Сегодня выпускаются три фреймворка: PCI DSS v4.0 Требование 6 (безопасные системы и программное обеспечение), ISO/IEC 27001:2022 Annex A элементы управления безопасной разработкой и SOC 2 Trust Services Criteria (TSC 2017). Каждый фреймворк разворачивается до базовых элементов управления; каждый элемент управления перечисляет набор CWE, используемый для сопоставления с ним учебных тем, и суммируется в процент покрытия по фреймворку, который Вы можете скопировать прямо в пак доказательств.

PDF-доказательство

Нажмите Скачать PDF-доказательство на любой вкладке, чтобы сгенерировать PDF, ограниченный фреймворком. Регуляторная вкладка также позволяет выбрать конкретный фреймворк и произвести PDF, включающий только элементы управления этого фреймворка — полезно, когда запрос аудитора узкий («доказательство PCI 6.2.4, пожалуйста»), и Вы не хотите передавать более широкий отчёт о покрытии.

Программный доступ

Те же числа, машиночитаемо: см. API → Соответствие. Распространённые автоматизации включают синхронизацию покрытия по фреймворкам в панель GRC, оповещение при падении покрытия какого-либо элемента управления ниже порога и подачу разбивки по модулям в инструмент планирования спринтов для автоматического создания заданий по устранению уязвимостей.