3.12. Обеспечение разработки безопасного программного обеспечения (БР)

Цель: Предотвращение появления, выявление и устранение уязвимостей при разработке программного обеспечения в информационной системе.

Требования к реализации: Разработка безопасного программного обеспечения должна предусматривать:

планирование мероприятий по разработке безопасного программного обеспечения;

обучение работников, осуществляющих разработку, поддержку безопасного программного обеспечения;

формирование и предъявление требований по безопасности к программному обеспечению, включая требования к его архитектуре;

управление конфигурацией программного обеспечения;

управление недостатками и запросами на изменение безопасного программного обеспечения;

разработку, уточнение и анализ архитектуры программного обеспечения, обеспечивающей снижение или исключение возникновения потенциальных уязвимостей;

моделирование актуальных угроз и разработку описания поверхности атак;

формирование и поддержание в актуальном состоянии правил безопасного кодирования;

экспертизу исходного кода программного обеспечения;

проведение статического, динамического анализа кода программ;

использование безопасной системы сборки программного обеспечения;

обеспечение безопасности сборочной среды программного обеспечения;

управление доступом и контроль целостности программного кода в ходе разработки программного обеспечения;

проведение композиционного анализа программного обеспечения;

проверку программного кода на предмет внедрения вредоносного программного обеспечения через цепочки поставок его составных частей;

функциональное и нефункциональное тестирование программного обеспечения;

обеспечение безопасности при выпуске готовой к эксплуатации версии программного обеспечения;

безопасную доставку и установку программного обеспечения в информационных системах;

обеспечение поддержки программного обеспечения при эксплуатации пользователями;

реагирование на информацию об уязвимостях программного обеспечения, поступающую от пользователей;

устранение уязвимостей программного обеспечения, выявленных в ходе его эксплуатации;

поиск уязвимостей в программном обеспечении и разработку мер по их устранению.

Требования к документированию: Внутренний регламент по разработке безопасного программного обеспечения <6>, в случае его самостоятельной разработки оператором (обладателем информации), должен содержать:

--------------------------------

<6> Пункт 3.2 национального стандарта Российской Федерации ГОСТ Р 56939-2024 (М., ФГБУ "РСТ", 2024) (далее - ГОСТ Р 56939-2024).

состав программного обеспечения, на разработку и эксплуатацию которого распространяются мероприятия (процессы) по разработке безопасного программного обеспечения;

перечень подразделений (работников), на которых возложены функции по организации и внедрению процессов разработки безопасного программного обеспечения, их функции и полномочия;

состав и содержание мероприятий (процессов) по разработке безопасного программного обеспечения;

перечень инструментальных средств, используемых при реализации мероприятий (процессов) по разработке безопасного программного обеспечения;

перечень подразделений (работников), на которых возложены функции по контролю процессов разработки безопасного программного обеспечения, их функции и полномочия;

описание порядка взаимодействия работников оператора при осуществлении разработки безопасного программного обеспечения.

Требования к усилению:

1) поиск уязвимостей в программном обеспечении в рамках открытых программ с привлечением внешних экспертов и разработка мер по их устранению.