|
Контрольные мероприятия безопасности
|
Подзадача жизненного цикла
|
Описание
|
Входные данные
|
Результат
|
Необходимые инструменты
|
Комментарий
|
|
Анализ коммерческих и открытых программных модулей на наличие уязвимостей
|
Контроль сторонних компонентов ОО
|
Выявление уязвимостей в сторонних компонентах коммерческого и открытого программного обеспечения, в том числе сторонних библиотек до размещения их в базы знаний и репозитории разработки
|
Перечень зависимостей, перечень компонентов коммерческого и открытого программного обеспечения
|
Отчет о результатах сканирования, решение о применимости сторонних компонентов
|
Инструмент проверки сторонних компонентов ПО
|
|
|
Анализ кода, компонентов на соответствие ИБ
|
Формирование общего репозитория доверенных исходных текстов программ, компонентов
|
Ведение общего репозитория с размещением в нем утвержденных и проверенных компонентов (сторонние, самописные) с открытым исходным кодом для возможности использования при децентрализации сред разработки
|
Перечень зависимостей, перечень компонентов коммерческого и открытого программного обеспечения, перечень самописных компонентов
|
Отчет о результатах сканирования, решение о применимости компонентов, исходных текстов программ
|
Инструмент проверки компонентов ПО
|
|
|
Разработка решений по ИБ для ОО
|
Разработка решений в ОО
|
Разработка решений по ИБ для ОО
|
Требования ИБ и меры для минимизации рисков
|
Решение по ИБ для ОО
|
Инструментальные средства проектирования и разработки
|
|
|
Разработка автоматизированных тестов по безопасности
|
Разработка наборов тестов
|
Разработка подробных процедур тестирования, тестовых данных, тестовых сценариев, конфигурации тестовых сценариев функций обеспечения информационной безопасности и решений информационной безопасности
|
План тестирования ОО
|
Документ о процедуре тестирования, тестовые сценарии ИБ, исполняемый код тестовых сценариев ИБ
|
Инструментальные средства для тестирования
|
|
|
Обеспечение контроля целостности всего программного кода и размещение доступных механизмов для контроля в соответствующих средах
|
Фиксация изменений в исходном коде
|
Обеспечение контроля целостности хранимых в репозиториях файлов.
Обеспечение доступности инструментов контроля целостности программного кода.
Обеспечение защиты от несанкционированного доступа и нарушения целостности ресурса хранения контрольных сумм релизов
|
Контрольные суммы релизов
|
Отчеты и предупреждения безопасности
|
Модули безопасности репозитория и систем управления версиями и изменениями
|
|
|
Статический анализ кода на уязвимости ИБ перед фиксацией изменений в исходном коде
|
Статический анализ исходного кода
|
Автоматическое сканирование и анализ кода по мере его написания в реальном времени и уведомление разработчика о потенциальных уязвимостях кода
|
Исходный текст программы, известные уязвимости
|
Исходный текст программы, найденные уязвимости
|
Модули безопасности интегрированной среды разработки
|
Является необязательным мероприятием
|
|
Статический анализ кода на уязвимости ИБ
|
Статический анализ исходного кода
|
Использование статического анализа исходных текстов программ, анализ результатов, которые влияют на решение об изменении статуса кода
|
Исходный текст программы, известные уязвимости и недостатки
|
Отчет о результатах статического анализа исходных текстов, фиксация результатов сканирования в базу знаний ИБ, рекомендуемые меры по снижению рисков, решение о переходе к следующему этапу жизненного цикла
|
Инструменты статического анализа исходных текстов программ
|
Анализ исходного текста программ на потенциальные уязвимости
|
|
Проведение контролей ИБ
|
Проверка качества перед переносом в среду тестирования
|
Анализ результатов статического сканирования и отчетов о проверке сторонних компонентов.
|
Результаты сборки, отчет статического сканирования, отчет о проверке сторонних компонентов, план проекта
|
Заключение по контролям для принятия решений об изменении статуса кода/переносе в другую среду
|
Инструменты проведения контроля ИБ
|
|
|
Принятие решения об изменении статуса кода/переносе в другую среду
|