Контакты
Подписка 2024

Как организовать процесс безопасной разработки в 5 шагов

Константин Саматов, 22/12/23

Разработка безопасного программного обеспечения (РПБО) направлена на предотвращение уязвимостей в ПО, которые могут быть использованы злоумышленниками для нанесения ущерба организации или ее контрагентам. Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

ris44

Разработка безопасного программного обеспечения – процесс, учитывающий безопасность на всех этапах жизненного цикла ПО.

РБПО уменьшает вероятность реализации угроз и количество уязвимостей, помогает повысить качество ПО, делая его более надежным и устойчивым к ошибкам. Применение процедур РБПО сокращает затраты на устранение уязвимостей в программном обеспечении как на этапе разработки, так и после его выпуска.

Рассмотрим этапы, которые включает в себя РБПО (см. табл. 1).

t1-1

Организации (стейкхолдеры), заинтересованные в создании процессов РБПО (см. табл. 2).

t2-1

Указанным в табл. 2 организациям необходимо создать процессы безопасной разработки.

Пошаговый план внедрения процессов РБПО в организации

Шаг 1. Разработать и внедрить политики и процедуры РБПО. Политики и процедуры должны охватывать все аспекты РБПО, от требований до развертывания. Методической базой для разработки политик являются:

  • ГОСТ Р 50922–2006 Защита информации. Основные термины и определения. 
  • ГОСТ Р 56939–2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования.
  • ГОСТ Р 58412–2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения.
  • ГОСТ Р ИСО/МЭК 12207–2010 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
  • ГОСТ Р ИСО/МЭК 15408–1–2012 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий (1–3 части).
  • ГОСТ Р 58412–2019 Разработка безопасного программного обеспечения. угрозы безопасности информации при разработке программного обеспечения.
  • ГОСТ Р 58143–2018 Тестирование проникновения.
  • ГОСТ Р ИСО/МЭК 18045–2013 Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий.
  • ГОСТ Р 56545–2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей.
  • ГОСТ Р 56546–2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем.
  • ГОСТ Р 56939–2016 Разработка безопасного программного обеспечения. общие требования.
  • Методические документы ФСТЭК России (по РБПО и управлению уязвимостями).
  • Практики РБПО других компаний.

Шаг 2. Внедрить инструменты и методы для автоматизации процессов РБПО. Инструменты и методы могут помочь сотрудникам автоматизировать задачи, связанные с безопасностью, такие как сканирование кода на наличие уязвимостей и управление конфигурацией.

Шаг 3. Создать среду, в которой сотрудники могут безопасно разрабатывать и тестировать программное обеспечение. Внедрить программное обеспечение для статического и динамического анализа исходного кода, создать ферму для фаззинг-тестирования, если оно необходимо.

Шаг 4. Обеспечить обучение сотрудников по вопросам безопасности разработки ПО. Обучение должно охватывать основы безопасности ПО, а также конкретные практики и методы, которые необходимо применять в организации.

Шаг 5. Регулярно проводить аудиты безопасности разработки ПО (аудиты процессов РБПО). Аудиты помогут оценить эффективность внедренных процессов РБПО и выявить области для улучшения.

Проблемы, которые могут возникнуть при внедрении процессов РБПО в организации, и их решение

Рассмотрим часто возникающие проблемы при внедрении РБПО и способы их решения (см. табл. 3).

t3-1

РБПО – это непрерывный процесс. Необходимо регулярно пересматривать и обновлять меры безопасности в соответствии с новыми угрозами и уязвимостями.

Безопасность инфраструктуры и данных является важным аспектом РБПО. Для обеспечения безопасности инфраструктуры и данных необходимо использовать межсетевые экраны, регулярно обновлять программное обеспечение и системы безопасности, использовать системы обнаружения и предотвращения вторжений, а также создавать резервные копии данных и хранить их в безопасном месте.


  1. Пока носит рекомендательный характер.

 

Темы:Безопасная разработкаЧек-листЖурнал "Информационная безопасность" №5, 2023РБПО

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.
  • Пять главных ошибок при выборе NGFW
    Анна Комша, руководитель практики NGFW в Positive Technologies
    Как, не допустив ошибок, подойти к выбору NGFW, чтобы он стал основным средством сетевой обороны и успешно справлялся с базовыми сетевыми задачами?
  • Персональные данные в 2024 году. Чек-лист
    В 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...