Есть вопрос?
Юридическое обслуживание проектов
в сфере информационных технологий

Разработка безопасного программного обеспечения ГОСТ Р 56939-2016

1 февраля

01 июня 2017 года вступает в силу ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Данный государственный стандарт направлен на достижение целей, связанных с предотвращением появления и/или устранением уязвимостей при разработке программ, и содержит перечень мер, которые рекомендуется реализовать на соответствующих этапах жизненного цикла программного обеспечения.

Как следует из самого ГОСТа, под безопасным программным обеспечением понимается «программное обеспечение, разработанное с использованием совокупности мер, направленных на предотвращение появления и устранение уязвимостей программы». Вышеупомянутые меры, которые рекомендуется реализовать на соответствующих этапах жизненного цикла программного обеспечения, перечислены в этом же ГОСТе.

Сюда относятся меры, реализуемые при:

  • выполнении анализа требований к программному обеспечению;
  • выполнении проектирования архитектуры программы;
  • выполнении конструирования и комплексирования программного обеспечения;
  • выполнении квалификационного тестирования программного обеспечения;
  • выполнении инсталляции программы и поддержки приемки программного обеспечения;
  • решении проблем в программном обеспечении в процессе эксплуатации;
  • осуществлении менеджмента документацией и конфигурацией программы;
  • осуществлении менеджмента инфраструктурой среды разработки программного обеспечения.

Всего в ГОСТе указано 23 меры, по каждой из которых описаны цели, требования к реализации, а также результат такой реализации.

Также в ГОСТе поименованы документы, которые должны быть в наличии у разработчика, в том числе:

  • Политика информационной безопасности в соответствии с ИСО/МЭК 27001;
  • Руководство по разработке безопасного ПО;
  • Перечень требований по безопасности;
  • Модель угроз безопасности;
  • Перечень инструментальных средств разработки ПО;
  • Описание проектных решений, обеспечивающих выполнение требований по безопасности;
  • Порядок оформления исходного кода программы;
  • Регламент и протоколы статического тестирования программы;
  • Регламент и протоколы экспертизы исходного кода программы и т.д..

Требования к содержанию перечисленных документов также указаны в ГОСТе. В свою очередь, требований к количеству и номенклатуре документов не предъявляется. Разработчик может скомпоновать необходимые сведения по своему усмотрению.

Согласно Приказу Росстандарта от 01.06.2016 №458-ст, ГОСТ Р 56939-2016 утвержден для добровольного использования.

Другие новости

О компанииКомандаНовостиКонтактыСоставление договоровИнтеллектуальная собственностьНалоговые консультацииАбонентское обслуживаниеАрбитражВЭДДля разработчиковДистрибьюторамИнтернет-сервисамВеб-студиямСтартапамНовости праваПубликацииФорумFAQКарта сайта
© ООО «АйТи-Лекс», 2008–2017 Правовая информация