Разработка БЕЗОПАСНОГО программного обеспечения

Защита информации

Разработка БЕЗОПАСНОГО программного обеспечения

Руководство по разработке безопасного программного обеспечения

 

	Настоящий проект стандарта не подлежит применению до его утверждения

 

 

Москва

Стандартинформ

Х

Предисловие

1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Акционерным обществом «Научно-производственное объединение «Эшелон» (АО «НПО «Эшелон»)

2 ВНЕСЕН Техническим комитетом по стандартизации «Защита информации» (ТК 362)

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от «__» _______ 201_ №__.

4 ВВЕДЕН ВПЕРВЫЕ

 

Правила применения настоящего стандарта установлены в статье
26 Федерального закона от 29 июня 2015 г. № 162–ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в годовом (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок – в ежемесячно издаваемом информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www. gost. ru)

 

ã Стандартинформ, 20ХХ

 

Настоящий стандарт не может быть воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального органа исполнительной власти в сфере стандартизации

Содержание

1 Область применения……………………………….…………………….

2 Нормативные ссылки…..…………………………………………………

3 Термины и определения…………………………………………….......

4 Общие положения………………………………………………..……….

4.1 Цель стандарта………………………………………………..….. 4.2 Целевая аудитория стандарта…………………………………. 4.3 Общие принципы внедрения и организации процесса разработки безопасного программного обеспечения……………. 4.4 Роли и ответственные……………………………………………. 5 Руководство по реализации требований к организации процесса разработки безопасного программного обеспечения, предъявляемых к разработчикам безопасного программного обеспечения………………………………………………..…………………. 5.1 Получение одобрения высшего руководства организации на внедрение мер по разработке безопасного программного обеспечения……………………………………………………………. 5.2 Определение области действия мер по разработке безопасного программного обеспечения………………………….. 5.3 Определение ответственных за процесс разработки безопасного программного обеспечения………………………….. 5.4 Первичная проверка существующих процессов с точки зрения выполнения требований к мерам по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939…………………………………………….…………….   5.5 Создание и реализация плана внедрения процесса разработки безопасного программного обеспечения……………. 5.6 Выполнение периодических внутренних проверок мер по разработке безопасного программного обеспечения…………….

6 Рекомендации по реализации мер по разработке безопасного программного обеспечения…………………………………………………

6.1 Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении анализа требований к программному обеспечению……………...

6.2 Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении проектирования архитектуры программы………………………….

6.3 Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении конструирования и комплексирования программного обеспечения……………………………………………………………...

6.4 Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении квалификационного тестирования программного обеспечения……………………………………………………………...

6.5 Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении инсталляции программы и поддержки приемки программного обеспечения……………………………………………………………...

6.6 Рекомендации по реализации мер по разработке безопасного программного обеспечения при решении проблем в программном обеспечении в процессе эксплуатации……….....

6.7 Рекомендации по реализации мер по разработке безопасного программного обеспечения, реализуемых в процессе менеджмента документацией и конфигурацией программы………………………………………………………………..

6.8 Рекомендации по реализации мер по разработке безопасного программного обеспечения в процессе менеджмента инфраструктурой среды разработки программного обеспечения……………………………………………

6.9 Рекомендации по реализации мер по разработке безопасного программного обеспечения, реализуемых в процессе менеджмента людскими ресурсами………………….....

Приложение А (справочное) Информация о ролях работников разработчика программного обеспечения, связанных с реализацией мер по разработке безопасного программного обеспечения………………………………. Приложение Б (справочное) Рекомендации по выбору инструментальных средств для реализации мер по разработке безопасного программного обеспечения………………………………………………..…

Введение

Настоящий стандарт входит в комплекс стандартов, направленных на достижение целей, связанных с предотвращением появления и/или устранением уязвимостей программ, и содержит рекомендации по реализации мер по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939.

Информация, представленная в настоящем стандарте, может быть использована разработчиками и производителями программного обеспечения при реализации мер по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939.

 

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ Защита информации РАЗРАБОТКА БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Руководство по разработке безопасного программного обеспечения Information protection. Secure software development. Secure software development guidance

Дата введения – ____________

Область применения

Настоящий стандарт содержит рекомендации по реализации мер по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939. Настоящий стандарт предназначен для разработчиков и производителей программного обеспечения (далее – разработчик программного обеспечения) и применяется совместно с ГОСТ Р 56939. Настоящий стандарт может применяться организациями, выполняющими оценку соответствия процесса разработки безопасного программного обеспечения на основе ГОСТ Р 56939.

	Проект, окончательная редакция

 

 

Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 19.401–78 Единая система программной документации. Текст программы. Требования к содержанию и оформлению

ГОСТ 19781–90 Обеспечение систем обработки информации программное. Термины и определения

ГОСТ Р 50922–2006 Защита информации. Основные термины и определения

ГОСТ Р 56545–2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

ГОСТ Р 56939–2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

ГОСТ Р ИСО 9000–2015 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО/МЭК 12207–2010 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств

ГОСТ Р ИСО/МЭК 27000–2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

ГОСТ Р ИСО/МЭК 27002–2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 27003–2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

Примечание – При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов (сводов правил и/или классификаторов) в информационной системе общего пользования - на официальном сайте федерального органа исполнительной власти в сфере стандартизации в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячно издаваемого информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт (документ), на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта (документа) с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт (документ), на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта (документа) с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт (документ), на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт (документ) отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р ИСО/МЭК 27000, ГОСТ 19781, ГОСТ Р 50922 и следующие термины с соответствующими определениями.

 

 

3.1

безопасное программное обеспечение: Программное обеспечение, разработанное с использованием совокупности мер, направленных на предотвращение появления и устранение уязвимостей программы.

[ГОСТ Р 56939–2016, статья 3.2]

3.2 высшее руководство организации: Лицо или группа людей, осуществляющих руководство и управление организацией (разработчиком программного обеспечение) на высшем уровне.

Примечание – Адаптировано из ГОСТ Р ИСО 9000.

3.3

динамический анализ кода программы: Вид работ по инструментальному исследованию программы, основанный на анализе кода программы в режиме непосредственного исполнения (функционирования) кода.

[ГОСТ Р 56939–2016, статья 3.3]

3.4

документация разработчика программного обеспечения: Совокупность программных документов, предназначенных для организации работ по созданию программного обеспечения, выполняемых в рамках процессов жизненного цикла программного обеспечения, и/или подтверждения соответствия требованиям настоящего стандарта.

Примечание – К программным относятся документы, содержащие сведения, необходимые для разработки, изготовления, сопровождения и эксплуатации программ.

[ГОСТ Р 56939–2016, статья 3.4]

3.5

инструментальное средство: Компьютерная программа, используемая как средство разработки, тестирования, анализа, производства или модификации других программ или документов на них.

[ГОСТ Р 51904–2002, статья 3.17]

3.6

компьютерная атака: Целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.

[ГОСТ Р 51275–2006, статья 3.11]

3.7

недостаток программ ы: Любая ошибка, допущенная в ходе проектирования или реализации программы, которая, в случае ее неисправления, может являться причиной уязвимости программы.

[ГОСТ Р 56939–2016, статья 3.7]

3.8

объект среды разработки программного обеспечения: Аппаратные средства, программы, программно-аппаратные средства и документы, используемые разработчиком для разработки программного обеспечения.

[ГОСТ Р 56939–2016, статья 3.8]

 

 

3.9

пользователь (программного обеспечения): Лицо, применяющее программное обеспечение или участвующее в деятельности, прямо или косвенно зависящей от функционирования данного программного обеспечения.

[ГОСТ Р 56939–2016, статья 3.9]

3.10

сетевая атака: Компьютерная атака с использованием протоколов межсетевого взаимодействия.

[ГОСТ Р 51275–2006, статья 3.12]

3.11

система управления конфигурацией программного обеспечения: Совокупность процедур и инструментальных средств (включая их документацию), используемая разработчиком программного обеспечения для разработки и поддержки конфигураций программного обеспечения в течение его жизненного цикла.

Примечание – Адаптировано из ГОСТ Р ИСО/МЭК 15408-1.

[ГОСТ Р 56939–2016, статья 3.13]

3.12

среда разработки программного обеспечения: Интегрированная система, включающая в себя аппаратные средства, программное обеспечение, программно-аппаратные средства, процедуры и документы, необходимые для разработки программного обеспечения.

[ГОСТ Р 51904–2002, статья 3.62]

 

3.13

статический анализ исходного кода программы: Вид работ по инструментальному исследованию программы, основанный на анализе исходного кода программы с использованием специализированных инструментальных средств (статических анализаторов) в режиме, не предусматривающем реального выполнения кода.

[ГОСТ Р 56939–2016, статья 3.15]

3.14

тестирование на проникновение: Вид работ по выявлению (подтверждению) уязвимостей программы, основанный на моделировании (имитации) действий потенциального нарушителя.

[ГОСТ Р 56939–2016, статья 3.16]

3.15

управление конфигурацией программного обеспечения: Скоординированные действия, направленные на формирование и контроль конфигурации программного обеспечения.

Примечание – Управление конфигурацией обычно включает в себя поддержку технической и административной деятельности, связанной с управлением программным обеспечением и требованиями к его конфигурации на всех стадиях жизненного цикла создания программного обеспечения. Адаптировано из ГОСТ Р ИСО 10007.

[ГОСТ Р 56939–2016, статья 3.18]

 

3.16

уязвимость программы: Недостаток программы, который может быть использован для реализации угроз безопасности информации.

Примечание – Уязвимость программы может быть результатом ее разработки без учета требований по обеспечению безопасности информации или результатом наличия ошибок проектирования или реализации.

[ГОСТ Р 56939–2016, статья 3.19]

3.17

функциональное тестирование программы: Вид работ по исследованию программы, направленный на выявление отличий между ее реально существующими и требуемыми свойствами.

[ГОСТ Р 56939–2016, статья 3.20]

3.18

фаззинг-тестирование программы: Вид работ по исследованию программы, направленный на оценку ее свойств и основанный на передаче программе случайных или специально сформированных входных данных, отличных от данных, предусмотренных алгоритмом работы программы.

[ГОСТ Р 56939–2016, статья 3.21]

3.19

экспертиза исходного кода программы: Вид работ по выявлению недостатков программы (потенциально уязвимых конструкций) в исходном коде программы, основанный на анализе исходного кода программы в режиме, не предусматривающем реального выполнения кода.

[ГОСТ Р 56939–2016, статья 3.22]

3.20

элемент конфигурации: Объект конфигурации, выполняющий законченную функцию.

[ГОСТ Р ИСО 10007–2007, статья 3.5]

Общие положения

Цель стандарта

Внедрение ГОСТ Р 56939 обусловливается учетом требований законов, нормативных правовых актов и отраслевых стандартов в области разработки безопасного программного обеспечения (ПО), уменьшением возможных последствий, связанных с финансовыми потерями, потерей репутации и/или конкурентных преимуществ разработчиком ПО. Цель настоящего национального стандарта – поддержать процесс внедрения мер по разработке безопасного ПО, установленных ГОСТ Р 56939, за счет предоставления разработчикам ПО рекомендаций по реализации мер по разработке безопасного ПО, установленных ГОСТ Р 56939.

Целевая аудитория стандарта

Целевой аудиторией настоящего национального стандарта являются:

- высшее руководство организации, заинтересованное во внедрении мер по разработке безопасного ПО для достижения бизнес-целей организации;

- работники организации, вовлеченные в процесс разработки ПО и ответственные за реализацию мер по разработке безопасного ПО;

- работники организации, ответственные за контроль реализации мер по разработке безопасного ПО в рамках организации (внутренние проверки);

- работники организаций, выполняющих оценку соответствия процесса разработки безопасного ПО на основе ГОСТ Р 56939 (внешние проверки);

- специалисты по информационной безопасности, заинтересованные в вопросах разработки безопасного ПО.

Роли и ответственные

В реализацию мер по разработке безопасного ПО вовлекаются работники разработчика ПО или сторонней организации, обладающие необходимыми компетенциями для решения тех или иных задач. В приложении А представлена информация о ролях работников разработчика ПО, связанных с реализацией мер по разработке безопасного ПО.

В разделе 6 для типовых действий, выполняемых при внедрении и реализации меры по разработке безопасного ПО, представлено рекомендуемое распределение ролей и обязанностей.

5 Руководство по реализации требований к организации процесса разработки безопасного программного обеспечения, предъявляемых к разработчикам безопасного программного обеспечения

Рекомендации по реализации мер по разработке безопасного программного обеспечения

Рекомендации по реализации мер по разработке безопасного ПО, представленные в данном разделе, приведены применительно к процессам жизненного цикла ПО, установленных ГОСТ Р ИСО/МЭК 12207.

6.1 Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении анализа требований к программному обеспечению

6.1.1 Определение требований по безопасности, предъявляемых к разрабатываемому программному обеспечению

Рекомендации соответствуют 5.1.3.1 ГОСТ Р 56939.

Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении проектирования архитектуры программы

Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении конструирования и комплексирования программного обеспечения

Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении квалификационного тестирования программного обеспечения

Рекомендации по реализации мер по разработке безопасного программного обеспечения при выполнении инсталляции программы и поддержки приемки программного обеспечения

Рекомендации по реализации мер по разработке безопасного программного обеспечения при решении проблем в программном обеспечении в процессе эксплуатации

Рекомендации по реализации мер по разработке безопасного программного обеспечения, реализуемых в процессе менеджмента документацией и конфигурацией программы

Рекомендации по реализации мер по разработке безопасного программного обеспечения в процессе менеджмента инфраструктурой среды разработки программного обеспечения

Рекомендации по реализации меры

Реализацию мер по защите элементов конфигурации от угроз безопасности информации, связанных с нарушением конфиденциальности, целостности и доступности следует осуществлять в соответствии с разделом 11 ГОСТ Р ИСО/МЭК 27002.

Рекомендации по реализации меры

Реализацию мер по резервному копированию и восстановлению элементов конфигурации следует осуществлять в соответствии с 10.5 ГОСТ Р ИСО/МЭК 27002.

Рекомендации по реализации меры

Реализацию мер, обеспечивающих регистрацию всех событий, связанных с фактами изменения элементов конфигурации, в журналах регистрации событий следует осуществлять в соответствии с 10.10 ГОСТ Р ИСО/МЭК 27002.

 

Рекомендации по реализации мер по разработке безопасного программного обеспечения, реализуемых в процессе менеджмента людскими ресурсами

Приложение А

(справочное)

Приложение Б

(справочное)

Рекомендации по выбору инструментальных средств
для реализации мер по разработке
безопасного программного обеспечения

В общем случае при выборе инструментальных средств для реализации меры по разработке безопасного ПО выполняются следующие шаги:

- определить, необходимо ли при реализации меры по разработке безопасного ПО использовать специализированные инструментальные средства;

- определить доступные на рынке инструментальные средства, обеспечивающие реализацию меры по разработке безопасного ПО, их параметры и характеристики на основе сведений, предоставляемых в открытых источниках, в документации на инструментальные средства, либо сведений, полученных в результате их пробного использования;

- определить критерии, которые будут использоваться при выборе инструментальных средств, и упорядочить их по степени важности для разработчика ПО;

- применить критерии к потенциальным инструментальным средствам с целью выбора используемых для реализации меры инструментальных средств;

- согласовать приобретение выбранных инструментальных средств с ответственными работниками разработчика ПО;

- приобрести/получить выбранные инструментальные средства при условии получения согласования;

- идентифицировать приобретенные/полученные для реализации меры по разработке безопасного ПО инструментальные средства в соответствии с 6.3.1;

Примерами критериев, которые используются при выборе инструментальных средств, являются:

- поддерживаемые форматы входных и выходных данных;

- возможность интеграции с другими инструментальными средствами, используемыми в процессе разработки ПО;

- поддержка многопользовательского режима работы;

- простота освоения, наличие эксплуатационных документов;

- производительность;

- требуемые ресурсы;

- стоимость.

 

 

УДК 004.006.354                                                                     ОКС 35.020 Ключевые слова: безопасное программное обеспечение, уязвимость программы, защита информации, руководство

 

Защита информации

разработка БЕЗОПАСНОГО программного обеспечения