5.7 Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента документацией и конфигурацией программы ГОСТ Р 56939-2016|Техническая документация

5.7.1 Меры по разработке безопасного программного обеспечения, подлежащие реализации ГОСТ Р 56939-2016

При выполнении менеджмента документацией и конфигурацией программы разработчик ПО должен реализовать следующие меры:

реализация и использование процедуры уникальной маркировки каждой версии ПО;
использование системы управления конфигурацией ПО.

[из 5.7.1 Меры по разработке безопасного программного обеспечения, подлежащие реализации ГОСТ Р 56939-2016]

Открыть в новой вкладке

5.7.2 Цели и результаты реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

Реализация мер способствует достижению цели обеспечения целостности элементов конфигурации, имеющих отношение к разрабатываемому ПО, и доступа к ним заинтересованных сторон.

В результате успешной реализации мер:

определяют элементы конфигурации, имеющие отношение к разрабатываемому ПО, в отношении которых должно проводиться управление конфигурацией;
разрабатывают и документируют стратегию маркировки каждой версии безопасного ПО и идентификации элементов конфигурации, которая реализуется в течение жизненного цикла ПО;
контролируют целостность определенных элементов конфигурации.

[из 5.7.2 Цели и результаты реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016]

Открыть в новой вкладке

5.7.3 Требования к реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

⇪В 23769 💥

⇪В 23772 💥

Разработчиком ПО должна быть реализована процедура, позволяющая выполнять уникальную маркировку каждой версии ПО.

Дпя организации работ, выполняемых в процессах жизненного цикла ПО, и подтверждения соответствия требованиям настоящего стандарта документация разработчика ПО должна содержать описание методов, используемых для уникальной маркировки каждой версии ПО [из 5.7.3.1 ГОСТ Р 56939-2016]

Открыть в новой вкладке

⇪В 23772 💥

Разработчик ПО должен определить элементы конфигурации, имеющие отношение к разрабатываемому ПО, которые должны контролироваться системой управления конфигурацией ПО. Разработчик ПО должен использовать систему управления конфигурацией ПО, позволяющую уникально идентифицировать определенные элементы конфигурации.

перечень элементов конфигурации, которые должны контролироваться системой управления конфигурацией ПО;
описание методов, используемых для уникальной идентификации элементов конфигурации;
порядок использования системы управления конфигурацией ПО;
подтверждение использования системы управления конфигурацией ПО.

Примечание - В область действия системы управления конфигурацией ПО могут быть включены следующие элементы конфигурации:

программа (дистрибутив программы);
программные и эксплуатационные документы;
исходный код программы;
программные и загрузочные модули, в том числе модули сторонних разработчиков ПО;
инструментальные средства и связанная с ними информация;
информация, связанная с обновлениями ПО и устранениями уязвимостей программы;
перечень выявленных уязвимостей программы.

[из 5.7.3.2 ГОСТ Р 56939-2016]

Открыть в новой вкладке

⇪В 23772 💥

Система управления конфигурацией ПО должна идентифицировать элементы конфигурации, которые связаны с реализацией функций безопасности ПО (при наличии требований безопасности, предъявляемых к ПО).

Для организации работ, выполняемых в процессах жизненного цикла ПО, и подтверждения соответствия требованиям настоящего стандарта документация разработчика ПО должна содержать перечень элементов конфигурации, которые связаны с реализацией функций безопасности ПО.

Примечание - Выполнение данного требования можно обеспечить посредством организационных и технических мер [из 5.7.3.3 ГОСТ Р 56939-2016]

Открыть в новой вкладке

⇪В 23772 💥

Система управления конфигурацией ПО должна предоставлять средства для определения всех элементов конфигурации, на которые воздействует модификация данного элемента конфигурации.

Для организации работ, выполняемых в процессах жизненного цикла ПО, и подтверждения соответствия требованиям настоящего стандарта документация разработчика ПО должна содержать порядок использования системы управления конфигурацией ПО с целью определения всех элементов конфигурации, на которые воздействует модификация данного элемента конфигурации.

Примечание - Выполнение данного требования дает разработчику ПО возможность оперативно идентифицировать все элементы конфигурации (например, исходный код программы), зависящие от определенного фрагмента исходного кода программы, содержащего ставшую известной уязвимость программы [из 5.7.3.4 ГОСТ Р 56939-2016]

Открыть в новой вкладке

Открыть в новой вкладке

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23726 💥