ГОСТ по разработке безопасного ПО

Кроме ГОСТ Р 56938-2016, о котором я писал в предыдущем посте, в тот же день, 1.06.2016 г утвержден еще один давно обещанный ФСТЭК ГОСТ: ГОСТ Р  56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Целью стандарта является предотвращение появления и устранение уязвимостей программного обеспечения, возникающих в процессе его разработки. ГОСТ «устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) ПО и формированием среды обеспечения оперативного устранения выявленных пользователями ошибок ПО и уязвимостей программы».

Ядром стандарта является перечень мер, которые рекомендуется реализовать на различных этапах жизненного цикла ПО: от этапа анализа требований к разрабатываемому ПО до устранения проблем в процессе эксплуатации ПО. Кроме того, приведены и меры, связанные с управлением документацией на ПО и даже с обучением персонала.

Меры по разработке безопасного ПО сведены в 9 групп:

1. Меры по разработке безопасного ПО, реализуемые при выполнении анализа требований к ПО.

2. Меры, реализуемые при выполнении проектирования архитектуры программы.

3. Меры по разработке безопасного ПО, реализуемые при выполнении конструирования и комплексирования ПО.

4. Меры, реализуемые при выполнении квалификационного тестирования программного обеспечения.

5. Меры, реализуемые при выполнении инсталляции программы и поддержки приемки ПО.

6. Меры, реализуемые при решении проблем в ПО в процессе эксплуатации.

7. Меры, реализуемые в процессе менеджмента документацией и конфигурацией программы.

8. Меры, реализуемые в процессе менеджмента инфраструктурой среды разработки ПО.

9. Меры, реализуемые в процессе менеджмента людскими ресурсами.

К каждой мере разработки безопасного ПО предъявляется набор требований по их реализации.

Например, 6-я группа мер фактически обязывает разработчика ПО отслеживать и исправлять ошибки и уязвимости ПО, выполнять систематический поиск уязвимостей и даже взаимодействовать с пользователем ПО.

В частности, ГОСТ требует: «Разработчик ПО должен предложить пользователю решение проблемы в ситуации, когда неизвестная ранее уязвимость программы используется для проведения компьютерной или сетевой атаки на информационную систему пользователя.

… документация разработчика ПО должна содержать описание методов приема и обработки сообщений от пользователей в ситуациях, когда неизвестная ранее уязвимость программы используется для проведения компьютерной или сетевой атаки на информационную систему пользователя».

Поскольку стандарты в области защиты информации с 1 июля стали обязательными, данный ГОСТ фактически будет выполнять роль руководящего документа для разработчиков ПО СЗИ. Испытательные лаборатории, скорее всего, будут обязаны проверять выполнение требований стандарта в процессе сертификации защищенного ПО.

Стандарт вступает в силу в июне 2016 г.