Разработка безопасного программного обеспечения ГОСТ Р 56939-2016
1 февраля 2017
01 июня 2017 года вступает в силу ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Данный государственный стандарт направлен на достижение целей, связанных с предотвращением появления и/или устранением уязвимостей при разработке программ, и содержит перечень мер, которые рекомендуется реализовать на соответствующих этапах жизненного цикла программного обеспечения.
Как следует из самого ГОСТа, под безопасным программным обеспечением понимается «программное обеспечение, разработанное с использованием совокупности мер, направленных на предотвращение появления и устранение уязвимостей программы». Вышеупомянутые меры, которые рекомендуется реализовать на соответствующих этапах жизненного цикла программного обеспечения, перечислены в этом же ГОСТе.
Сюда относятся меры, реализуемые при:
- выполнении анализа требований к программному обеспечению;
- выполнении проектирования архитектуры программы;
- выполнении конструирования и комплексирования программного обеспечения;
- выполнении квалификационного тестирования программного обеспечения;
- выполнении инсталляции программы и поддержки приемки программного обеспечения;
- решении проблем в программном обеспечении в процессе эксплуатации;
- осуществлении менеджмента документацией и конфигурацией программы;
- осуществлении менеджмента инфраструктурой среды разработки программного обеспечения.
Всего в ГОСТе указано 23 меры, по каждой из которых описаны цели, требования к реализации, а также результат такой реализации.
Также в ГОСТе поименованы документы, которые должны быть в наличии у разработчика, в том числе:
- Политика информационной безопасности в соответствии с ИСО/МЭК 27001;
- Руководство по разработке безопасного ПО;
- Перечень требований по безопасности;
- Модель угроз безопасности;
- Перечень инструментальных средств разработки ПО;
- Описание проектных решений, обеспечивающих выполнение требований по безопасности;
- Порядок оформления исходного кода программы;
- Регламент и протоколы статического тестирования программы;
- Регламент и протоколы экспертизы исходного кода программы и т.д..
Требования к содержанию перечисленных документов также указаны в ГОСТе. В свою очередь, требований к количеству и номенклатуре документов не предъявляется. Разработчик может скомпоновать необходимые сведения по своему усмотрению.
Согласно Приказу Росстандарта от 01.06.2016 №458-ст, ГОСТ Р 56939-2016 утвержден для добровольного использования.
