Определение ответственных за процесс разработки безопасного программного обеспечения

Для успешного внедрения процесса безопасной разработки ПО должны быть определены:

- ответственный за внедрение процесса безопасной разработки на уровне высшего руководства организации;

- ответственные за реализацию мер, указанных в ГОСТ Р 56939 со стороны каждого департамента, отдела и/или проектной команды, вовлеченных в процесс разработки безопасного ПО.

В отношении каждого из выделенных ответственных должны быть определены области ответственности, обязанности и полномочия. Допускается совмещение обязанностей, связанных с процессом разработки безопасного ПО, и других должностных обязанностей в рамках одной должности при условии отсутствия конфликта интересов.

5.4 Первичная проверка существующих процессов с точки зрения выполнения требований к мерам по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939

Первичная проверка необходима для определения того, какие из реализованных процессов соответствуют требованиям ГОСТ Р 56939, какие процессы нужно изменить для обеспечения соответствия требованиям ГОСТ Р 56939 и какие процессы нужно реализовать дополнительно к имеющимся.

Разработчику ПО следует провести проверку процессов разработки ПО в границах определенной области действия мер по разработке безопасного ПО с целью оценки их текущего состояния с точки зрения:

- соответствия требованиям к реализации мер по разработке безопасного ПО ГОСТ Р 56939;

- соответствия документации разработчика требованиям ГОСТ Р 56939.

К проведению проверки могут привлекаться сторонние организации, обладающие компетенциями в области разработки безопасного ПО и оценки соответствия процесса разработки ПО требованиям ГОСТ Р 56939. В отношении работников или сторонних организаций, проверяющих соответствие ГОСТ Р 56939, должна быть исключена возможность создания ситуации, приводящей к конфликту интересов.

Оценка степени внедрения мер по разработке безопасного ПО предполагает выполнение:

- идентификации существующих у разработчика ПО процессов разработки ПО в определенной области действия мер по разработке безопасного ПО;

- описания (выполняется в форме диаграмм, схем, словесного описания) идентифицированных процессов с точки зрения выполнения мер по разработке безопасного ПО, установленных ГОСТ Р 56939;

- обсуждения с ответственными работниками, вовлеченными в процесс разработки ПО, степени соответствия существующих процессов требованиям ГОСТ Р 56939;

- формирования вывода о том, какие из реализованных процессов соответствуют требованиям ГОСТ Р 56939, какие процессы нужно изменить для обеспечения соответствия требованиям ГОСТ Р 56939 и какие процессы нужно реализовать дополнительно к имеющимся;

- документирования результатов оценки.

Результаты оценки могут быть представлены в виде таблицы для их дальнейшего применения при написании плана внедрения мер по разработке безопасного ПО и оценки улучшений процессов, связанных с разработкой безопасного ПО. Высшее руководство организации, а также все работники, которые вовлечены в процесс внедрения мер по разработке безопасного ПО и которым, в соответствии с принципом необходимого знания, данная информация необходима для выполнения должностных обязанностей, должны быть ознакомлены с результатами оценки.

5.5 Создание и реализация плана внедрения процесса разработки безопасного программного обеспечения

В отношении процесса разработки каждого элемента продуктового ряда разработчик ПО должен разработать план по внедрению мер по разработке безопасного ПО. Допускается, чтобы этот план подразумевал поэтапное внедрение соответствующих мер из базового набора мер по разработке безопасного ПО (раздел 5 ГОСТ Р56939) или использование компенсирующих мер в соответствии с 4.5 ГОСТ Р 56939. Выбор мер по разработке безопасного ПО, подлежащих внедрению в организации, и отнесение выбранных мер к тому или иному этапу внедрения выполняются с учетом:

- целей и особенностей организации внутренних процессов разработчика ПО;

- результатов анализа угроз безопасности информации, актуальных для среды разработки ПО;

- уровня зрелости данных процессов.

Анализ актуальных для среды разработки ПО угроз безопасности информации и документирование результатов анализа выполняется по ГОСТ Р 58412. Одновременно, выбор мер и соответствующее обоснование, в том числе того, почему те или иные меры не подлежат внедрению, должны быть задокументированы.

Для каждой внедряемой меры по разработке безопасного ПО в плане внедрения следует отразить:

- перечень задач, выполняемых для внедрения меры;

- ожидаемые результаты и сроки выполнения задачи;

- ответственных за выполнение задачи работников.

Допускается составлять отдельные планы для определенного ПО и/или групп разработчиков. Рекомендации по реализации мер по разработке безопасного ПО, включающие описание задач, выполняемых для внедрения, и распределение ролей и обязанностей, связанных с реализацией меры между работниками, представлены в разделе 6.

Документированный план внедрения мер по разработке безопасного ПО должен быть согласован всеми заинтересованными участниками и представлен на утверждение высшему руководству организации для принятия им окончательного решения о внедрении мер по разработке безопасного ПО и выделения необходимых ресурсов. С планом внедрения следует ознакомить всех вовлеченных в процесс разработки ПО работников, в том числе с целью информирования их о целях и приоритетах организации в области разработки безопасного ПО, а также поставленных задачах и сроках их выполнения.

Примечание – Согласование плана внедрения мер по разработке безопасного ПО должно выполняться как минимум руководителем разработки ПО и руководителем группы разработки безопасного ПО (при наличии в организации).

Должны быть подготовлены и согласованы с высшим руководством организации следующие документы:

- политика информационной безопасности (4.13 ГОСТ Р 56939);

- руководство по разработке безопасного ПО, соответствующее требованиям 4.10 ГОСТ Р 56939 и гармонизированное с политиками, направленными на обеспечение информационной безопасности и другими руководящими документами организации;

- процедуры и руководства, которые соответствуют требованиям ГОСТ Р 56939 и другим применимым стандартам индустрии, способствующие внедрению процесса разработки безопасного ПО и учитывающие особенности организации внутренних процессов, культуру и ценности разработчика ПО.

Допускается создавать несколько руководств по разработке безопасного ПО с разной областью действия (различное ПО и/или группы разработки ПО).

После согласования с высшим руководством организации, данные документы должны быть:

- доведены до сведения всех работников организации, вовлеченных в процесс разработки безопасного ПО;

- обязательны для исполнения;

- доступны для ознакомления и использования работникам;

- поддержаны в актуальном состоянии.

Шаблоны документов и инструкции по реализации мер рекомендуется располагать на общем ресурсе, доступном для всех заинтересованных лиц, связанных с проектами разработки ПО. Документы, содержащие детальную информацию, относящуюся к конкретному проекту, рекомендуется располагать на ресурсе, доступном всем участникам проекта разработки ПО. При этом должны обеспечиваться разграничение доступа к чувствительной информации по принципу необходимого знания и устранение конфликтов интересов за счет разграничения ролей и зон ответственности, доступ к информации об уязвимостях программы следует ограничить.

В процессе внедрения мер должны проводиться периодические проверки мер по разработке безопасного ПО, реализуемых в соответствии с планом внедрения. Цель периодических проверок состоит в отслеживании изменений и определении того, выполняется ли план внедрения мер по разработке безопасного ПО надлежащим образом. Периодичность проверок, а также их порядок и условия проведения должны быть указаны в плане внедрения мер.

План внедрения мер по разработке безопасного ПО должен поддерживаться в актуальном состоянии и корректироваться по результатам внутренних проверок.

Выявленные в процессе разработки или эксплуатации ПО уязвимости программы должны описываться в соответствии с ГОСТ Р 56545. Если выявленная в ходе разработки или эксплуатации ПО уязвимость программы также имеется в ПО (например, в предыдущей версии), которое уже используется пользователями, то обращение с информацией о данной уязвимости программы следует осуществлять в соответствии с методическим документом ФСТЭК России «Регламент включения информации об уязвимостях программного обеспечения и программно-аппаратных средств в Банк данных угроз безопасности информации ФСТЭК России».