воскресенье, 16 октября 2016 г.

ГОСТ по разработке безопасного ПО


Кроме ГОСТ Р 56938-2016, о котором я писал в предыдущем посте, в тот же день, 1.06.2016 г утвержден еще один давно обещанный ФСТЭК ГОСТ: ГОСТ Р  56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Целью стандарта является предотвращение появления и устранение уязвимостей программного обеспечения, возникающих в процессе его разработки. ГОСТ «устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) ПО и формированием среды обеспечения оперативного устранения выявленных пользователями ошибок ПО и уязвимостей программы».

Ядром стандарта является перечень мер, которые рекомендуется реализовать на различных этапах жизненного цикла ПО: от этапа анализа требований к разрабатываемому ПО до устранения проблем в процессе эксплуатации ПО. Кроме того, приведены и меры, связанные с управлением документацией на ПО и даже с обучением персонала.

Меры по разработке безопасного ПО сведены в 9 групп:
1. Меры по разработке безопасного ПО, реализуемые при выполнении анализа требований к ПО.
2. Меры, реализуемые при выполнении проектирования архитектуры программы.
3. Меры по разработке безопасного ПО, реализуемые при выполнении конструирования и комплексирования ПО.
4. Меры, реализуемые при выполнении квалификационного тестирования программного обеспечения.
5. Меры, реализуемые при выполнении инсталляции программы и поддержки приемки ПО.
6. Меры, реализуемые при решении проблем в ПО в процессе эксплуатации.
7. Меры, реализуемые в процессе менеджмента документацией и конфигурацией программы.
8. Меры, реализуемые в процессе менеджмента инфраструктурой среды разработки ПО.
9. Меры, реализуемые в процессе менеджмента людскими ресурсами.
К каждой мере разработки безопасного ПО предъявляется набор требований по их реализации.

Например, 6-я группа мер фактически обязывает разработчика ПО отслеживать и исправлять ошибки и уязвимости ПО, выполнять систематический поиск уязвимостей и даже взаимодействовать с пользователем ПО.
В частности, ГОСТ требует: «Разработчик ПО должен предложить пользователю решение проблемы в ситуации, когда неизвестная ранее уязвимость программы используется для проведения компьютерной или сетевой атаки на информационную систему пользователя.
… документация разработчика ПО должна содержать описание методов приема и обработки сообщений от пользователей в ситуациях, когда неизвестная ранее уязвимость программы используется для проведения компьютерной или сетевой атаки на информационную систему пользователя».

Поскольку стандарты в области защиты информации с 1 июля стали обязательными, данный ГОСТ фактически будет выполнять роль руководящего документа для разработчиков ПО СЗИ. Испытательные лаборатории, скорее всего, будут обязаны проверять выполнение требований стандарта в процессе сертификации защищенного ПО.
Стандарт вступает в силу в июне 2016 г.

Комментариев нет:

Отправить комментарий