Приложение А (справочное) ГОСТ Р 58412-2019

Информация о мерах по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939–2016, реализация которых способствует нейтрализации угроз безопасности информации при разработке программного обеспечения.

Таблица А.1 – Соответствие между угрозами безопасности информации при разработке ПО и мерами по разработке безопасного ПО, установленными ГОСТ Р 56939–2016

Угроза безопасности информации при разработке ПО

Мера по разработке безопасного ПО согласно ГОСТ Р 56936–2016

5.1.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при задании требований по безопасности, предъявляемых к создаваемому программному обеспечению

Определение требований по безопасности, предъявляемых к разрабатываемому ПО (5.1.3.1);
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1);
резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.З);
определение, документирование и соблюдение политики информационной безопасности (4.13);
периодическое обучение работников (5.9.3.1);
периодический анализ программы обучения работников (5.9.3.2)

5.1.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о требованиях по безопасности, предъявляемых к создаваемому программному обеспечению

Определение, документирование и соблюдение политики информационной безопасности (4.13)

5.2.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при создании проекта архитектуры программы

Моделирование угроз безопасности информации (5.2.Э.1); уточнение проекта архитектуры программы с учетом результатов моделирования угроз безопасности информации (5.2.3.2): реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
проведение систематического поиска уязвимостей программы (5.6.3.4. 5.6.3.5);
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1);
резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3):
определение, документирование и соблюдение политики информационной (4.13):
периодический анализ программы обучения работников (5.9.3.2);

5.2.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о проекте архитектуры программы

Определение, документирование и соблюдение политики информационной безопасности (4.13)

5.3.1 Угроза внедрения уязвимостей в исходный код программы в ходе его разработки

Создание программы на основе уточненного проекта архитектуры программы (5.3.3.2);
создание (выбор) и использование при создании программы порядка оформления исходного кода программы (5.3.3.3);
статический анализ исходного хода программы (5.3.3.4), экспертиза исходного кода программы (5.3.3.5). проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5);
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1):
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1);
резервное копирование элементов конфигурации (5.8.3.2): регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3);
определение, документирование и соблюдение политики информационной безопасности (п. 4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работнков (5.9.3.2)

5.3.2 Угроза внедрения уязвимостей программы путем использования заимствованных у сторонних разработчиков программного обеспечения уязвимых компонентов

Статический анализ исходного кода программы (5.3.3.4); экспертиза исходного хода программы (5.3.3.5):
проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5):
реагмзация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1);
резервное копирование элементов конфигурации (5.8.3.2): регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3);
определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.Э.2)

5.3.3 Угроза внедрения уязвимостей программы из–за неверного использования инструментальных средств при разработке программного обеспечения

Проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5);
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
использование системы управления конфигурацией ПО (5.7.3J–
5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1);
резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3);
определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)

5.3.4 Угроза появления уязвимостей программы вследствие ошибок, допущенных в эксплуатационных документах в ходе осуществления их разработки и хранения

Поставка пользователю эксплуатационных документов (5.5.3.2): проведение систематического поиска уязвимостей программы (5.6.3.4. 5.6.3.5);
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1):
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
– защита от несанкционированного доступа к элементам конфигурации (5.8.3.1);
– резервное копирование элементов конфигурации (5.8.3.2);
• регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3).
Определение, документирование и соблюдение политики информационной безопасности (4.13): периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)

5.3.5 Угроза выявления уязвимостей программы вследствие раскрытия исходного кода программы

Определение, документирование и соблюдение политики информационной безопасности (4.13)

5.4.1 Угроза появления уязвимостей вследствие изменения тестовой документации с цегъю сокрытия уязвимостей программы

Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1):
резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3):
определение, документирование и соблюдение политики информационной безопасности (4.13): периодическое обучение работников (5.9.3.1): периодический анализ программы обучения работников (5.9.3.2)

5.4.2 Угроза выявления уязвимостей вследствие раскрытия информации о тестировании программою обеспечения

Определение, документирование и соблюдение политики информационной безопасности (4.13)

5.4.3 Угроза появления уязвимостей программы вследствие совершения ошибок при выполнении тестирования программного обеспечения

Функциональное тестирование программы (5.4.3.1), тестирование на проникновение (5.4.3.2), динамический анализ хода программы (5.4.3.3), фаззинг–тестирование программы (5.4.3.4).
Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
использование системы упрввлешя конфигурацией ПО (5.7.3.2– 5.7.3.4);
периодическое обучение работников (5.9.3.1): периодический анализ программы обучения работников (5.9.3.2)

5.5.1 Угроза внедрения уязвимостей в программу в процессе ее поставки

Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1);
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);

5.5.1 Угроза внедрения уязвимостей в программу в процессе ее поставки

использование системы управления конфигурацией ПО (5.7.3J– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1);
резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3);
• определение, документирование и соблюдение политики информационной безопасности (4.13)

5.5.2 Угроза появления уязвимостей программы вследствие модификации эксплуатационных документе» при их передаче пользователю

Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1) :
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации
(5.8.3.1) ;
резервное копирование элементов конфигурации (5.8.3.2): регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3);
определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.Э.2)

5.5.3 Угроза внедрения уязвимостей в обновления программного обеспечения

Обеспечение зашиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1К
проведение систематического поиска уязвимостей программы (5.6.3.4. 5.6.3.5):
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1);
резервное копирование элементов конфигурации (5.8.3.2): регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3);
определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.Э.2)

5.6.1 Угроза неисправления обнаруженных уязвимостей программы

Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.11;
резервное копирование элементов конфигурации (5.8.3.2): регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3);
определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)

5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы

Определение, документирование и соблюдение политики информационной безопасности (4.13)

5.7.1 Угроза внедрения в программу уязвимостей при управлении конфигурацией программного обеспечения

Проведение систематического поиска уязвимостей программы (5.6.3.4. 5.6.3.5);
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1);
использование системы управления конфигурацией ПО (5.7.3.2– 5.7.3.4);
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1):
резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3);
определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)

5.9.1 Угроза появления уязвимостей программы вследствие совершения разработчиком программного обеспечения ошибок при обучении своих работников в области разработки безопасного программного обеспечения

Периодическое обучение работников (5.9.9.1); периодический анализ программы обучения работников (5.9.3.2)

[из Приложение А (справочное) ГОСТ Р 58412-2019]