Контакты
Подписка 2025
Статьи по информационной безопасности

Как организовать процесс безопасной разработки в 5 шагов

Константин Саматов, 22/12/23

Разработка безопасного программного обеспечения (РПБО) направлена на предотвращение уязвимостей в ПО, которые могут быть использованы злоумышленниками для нанесения ущерба организации или ее контрагентам. Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

ris44

Разработка безопасного программного обеспечения – процесс, учитывающий безопасность на всех этапах жизненного цикла ПО.

РБПО уменьшает вероятность реализации угроз и количество уязвимостей, помогает повысить качество ПО, делая его более надежным и устойчивым к ошибкам. Применение процедур РБПО сокращает затраты на устранение уязвимостей в программном обеспечении как на этапе разработки, так и после его выпуска.

Рассмотрим этапы, которые включает в себя РБПО (см. табл. 1).

t1-1

Организации (стейкхолдеры), заинтересованные в создании процессов РБПО (см. табл. 2).

t2-1

Указанным в табл. 2 организациям необходимо создать процессы безопасной разработки.

Пошаговый план внедрения процессов РБПО в организации

Шаг 1. Разработать и внедрить политики и процедуры РБПО. Политики и процедуры должны охватывать все аспекты РБПО, от требований до развертывания. Методической базой для разработки политик являются:

  • ГОСТ Р 50922–2006 Защита информации. Основные термины и определения. 
  • ГОСТ Р 56939–2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования.
  • ГОСТ Р 58412–2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения.
  • ГОСТ Р ИСО/МЭК 12207–2010 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
  • ГОСТ Р ИСО/МЭК 15408–1–2012 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий (1–3 части).
  • ГОСТ Р 58412–2019 Разработка безопасного программного обеспечения. угрозы безопасности информации при разработке программного обеспечения.
  • ГОСТ Р 58143–2018 Тестирование проникновения.
  • ГОСТ Р ИСО/МЭК 18045–2013 Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий.
  • ГОСТ Р 56545–2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей.
  • ГОСТ Р 56546–2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем.
  • ГОСТ Р 56939–2016 Разработка безопасного программного обеспечения. общие требования.
  • Методические документы ФСТЭК России (по РБПО и управлению уязвимостями).
  • Практики РБПО других компаний.

Шаг 2. Внедрить инструменты и методы для автоматизации процессов РБПО. Инструменты и методы могут помочь сотрудникам автоматизировать задачи, связанные с безопасностью, такие как сканирование кода на наличие уязвимостей и управление конфигурацией.

Шаг 3. Создать среду, в которой сотрудники могут безопасно разрабатывать и тестировать программное обеспечение. Внедрить программное обеспечение для статического и динамического анализа исходного кода, создать ферму для фаззинг-тестирования, если оно необходимо.

Шаг 4. Обеспечить обучение сотрудников по вопросам безопасности разработки ПО. Обучение должно охватывать основы безопасности ПО, а также конкретные практики и методы, которые необходимо применять в организации.

Шаг 5. Регулярно проводить аудиты безопасности разработки ПО (аудиты процессов РБПО). Аудиты помогут оценить эффективность внедренных процессов РБПО и выявить области для улучшения.

Проблемы, которые могут возникнуть при внедрении процессов РБПО в организации, и их решение

Рассмотрим часто возникающие проблемы при внедрении РБПО и способы их решения (см. табл. 3).

t3-1

РБПО – это непрерывный процесс. Необходимо регулярно пересматривать и обновлять меры безопасности в соответствии с новыми угрозами и уязвимостями.

Безопасность инфраструктуры и данных является важным аспектом РБПО. Для обеспечения безопасности инфраструктуры и данных необходимо использовать межсетевые экраны, регулярно обновлять программное обеспечение и системы безопасности, использовать системы обнаружения и предотвращения вторжений, а также создавать резервные копии данных и хранить их в безопасном месте.

  1. Пока носит рекомендательный характер.

 
Темы:Безопасная разработкаЧек-листЖурнал "Информационная безопасность" №5, 2023РБПО

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Кибербезопасность инфраструктуры, информационных систем, данных и приложений | 7 марта 2025
Регистрация на конференцию →
Статьи по той же темеСтатьи по той же теме

  • О безопасности заимствованных компонентов Open Source
    Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения, ведущий научный сотрудник ФГБУН “ИСП РАН”
    Open Source стал неотъемлемой частью современного мира. Сегодня уже нет необходимости объяснять, что это такое, – с этим явлением все давно свыклись и приняли его как данность. Однако возникает другой вопрос: как эффективно и зрело работать с Open Source?
  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • Безопасная безопасность
    Ярослав Гальчук, инженер группы сопровождения разработки компании "Газинформсервис"
    Цифровые технологии уже давно играют ключевую роль в жизни общества, и их развитие неразрывно связано с вопросами безопасности. Может ли быть достигнута 100%-ная безопасность и могут ли быть уязвимы сами средства защиты информации?
  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
6 марта | Отечественные ИT-платформы и ПО для объектов КИИ | Онлайн
Регистрация →

More...
ТБ Форум 2025
6 марта | Отечественные ИT-платформы для объектов КИИ
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"