Журнал "Information Security/ Информационная безопасность" #5, 2023

Разработка безопасного программного обеспечения – процесс, учитывающий безопасность на всех этапах жизненного цикла ПО. РБПО уменьшает вероятность реали- зации угроз и количество уязвимостей, помогает повысить качество ПО, делая его более надежным и устойчивым к ошибкам. Применение процедур РБПО сокращает затраты на устранение уязви- мостей в программном обеспечении как на этапе разработки, так и после его выпуска. Рассмотрим этапы, которые включает в себя РБПО (см. табл. 1). Организации (стейкхолдеры), заинте- ресованные в создании процессов РБПО (см. табл. 2). Указанным в табл. 2 организациям необходимо создать процессы безопас- ной разработки. Пошаговый план внедрения процессов РБПО в организации Шаг 1. Разработать и внедрить политики и процедуры РБПО. Поли- тики и процедуры должны охваты- вать все аспекты РБПО, от требова- ний до развертывания. Методиче- ской базой для разработки политик являются: l ГОСТ Р 50922–2006 Защита информа- ции. Основные термины и определения. l ГОСТ Р 56939–2016 Защита инфор- мации. Разработка безопасного про- граммного обеспечения. Общие требо- вания. l ГОСТ Р 58412–2019 Защита инфор- мации. Разработка безопасного про- граммного обеспечения. Угрозы без- опасности информации при разработке программного обеспечения. l ГОСТ Р ИСО/МЭК 12207–2010 Инфор- мационная технология. Системная и про- граммная инженерия. Процессы жиз- ненного цикла программных средств. l ГОСТ Р ИСО/МЭК 15408–1–2012 Мето- ды и средства обеспечения безопасно- сти. Критерии оценки безопасности информационных технологий (1–3 части). 58 • ТЕХНОЛОГИИ Как организовать процесс безопасной разработки в 5 шагов азработка безопасного программного обеспечения (РБПО) направлена на предотвращение уязвимостей в ПО, которые могут быть использованы злоумышленниками для нанесения ущерба организации или ее контрагентам. Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления. Р Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности Таблица 1 Таблица 2 Этап Описание Анализ угроз и уязвимостей Определяются потенциальные угрозы и уязвимости, которые могут повлиять на безопасность ПО Проектирование безопасных систем Разработка архитектуры и дизайна ПО, которые учитывают безопасность, включая использование безопасных архитектурных шаблонов и принципов, а также механизмов защиты Разработка безопасного кода Создание ПО таким образом, чтобы оно было (с определенной долей условности) безопасным, включая соблюдение методик (методологии) РБПО Тестирование на наличие уязвимостей Тестирование исходного кода созданного ПО на наличие уязвимостей, включая проведение статического и динамического анализа исходного кода, а также тестирование на проникновение Развертывание безопасных систем Внедрение ПО в информационной инфраструктуре. Обеспечение безопасности самой инфраструктуры и данных, а также обучение сотрудников по вопросам безопасности Стейкхолдер Чем обосновано? Разработчики ПО Пункт 29.3 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25.12.2017 № 239) Субъекты КИИ Пункт 29.4 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25.12.2017 № 239) Владельцы ГИС/МИС Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утв. приказом ФСТЭК России от 11.02.2013 № 17) Организации финансового сектора Требования Банка России: 382–П, 683–П, 684–П, 719–П Владельцы ИСПДн Пункт 11 1 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. приказом ФСТЭК России от 18.02.2013 № 21) 1 Пока носит рекомендательный характер.