Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования. Information protection. Secure software development. General requirements. УДК 004.006.354 ОКС 35.020. Редакция от 01.02.2022.

5.8.2 Цели и результаты реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

Реализация мер способствует достижению цели обеспечения конфиденциальности, целостности и доступности элементов конфигурации в среде разработки ПО.

В результате успешной реализации мер:

определяют элементы конфигурации, имеющие отношение к разрабатываемому ПО, которые должны быть защищены от угроз безопасности информации, связанных с нарушением конфиденциальности, целостности и доступности;
разрабатывают, реализуют и документируют технические и организационные меры, обеспечивающие защиту элементов конфигурации от угроз безопасности информации, связанных с нарушением конфиденциальности, целостности и доступности.

[из 5.8.2 Цели и результаты реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016]

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23777 💥

Открыть в новой вкладке

5.8.3 Требования к реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23777 💥

Открыть в новой вкладке

5.8.3.1 ГОСТ Р 56939-2016

Разработчик ПО должен определить элементы конфигурации, имеющие отношение к разрабатываемому ПО, которые должны быть защищены от угроз безопасности информации, связанных с нарушением конфиденциальности, целостности и доступности. Разработчик ПО должен применять технические и организационные меры, обеспечивающие защиту от несанкционированного доступа к определенным элементам конфигурации.

Для организации работ, выполняемых в процессах жизненного цикла ПО, документация разработчика ПО должна содержать:

перечень элементов конфигурации, которые должны быть защищены от угроз безопасности информации, связанных с нарушением конфиденциальности, целостности и доступности;
описание применяемых технических и организационных мер, обеспечивающих защиту от несанкционированного доступа к элементам конфигурации.

Для подтверждения соответствия требованиям настоящего стандарта документация разработчика ПО должна содержать подтверждение использования определенных мер при разработке ПО [из 5.8.3.1 ГОСТ Р 56939-2016]]

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23780 💥

Открыть в новой вкладке

5.8.3.2 ГОСТ Р 56939-2016

Разработчик ПО должен определить подлежащие резервному копированию элементы конфигурации, имеющие отношение к разрабатываемому ПО. Разработчик ПО должен применять технические и организационные меры, обеспечивающие резервное копирование и восстановление определенных элементов конфигурации с периодичностью, определенной в документации разработчика ПО.

перечень элементов конфигурации, подлежащих резервному копированию;
сведения о периодичности резервного копирования;
описание применяемых технических и организационных мер, обеспечивающих резервное копирование и восстановление определенных элементов конфигурации.

Примечание - Используемые меры направлены на обеспечение конфиденциальности и целостности следующих объектов среды разработки ПО и элементов конфигурации:

программа (дистрибутив программы);
программные и эксплуатационные документы;
исходный код программы;
программные и загрузочные модули, в том числе модули сторонних разработчиков ПО;
инструментальные средства и связанная с ними информация;
информация, связанная с обновлениями ПО и устранениями уязвимостей программы;
перечень выявленных уязвимостей программы.

[из 5.8.3.2 ГОСТ Р 56939-2016]

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23780 💥

Открыть в новой вкладке

5.8.3.3 ГОСТ Р 56939-2016

Разработчик ПО должен применять технические и организационные меры, обеспечивающие регистрацию всех событий, связанных с фактами изменения элементов конфигурации, в журналах регистрации событий. Следует регистрировать следующую информацию: инициатор изменения, идентификатор элемента конфигурации, дата и время изменения элемента конфигурации.

Для организации работ, выполняемых а процессах жизненного цикла ПО, документация разработчика ПО должна содержать описание применяемых технических и организационных мер, обеспечивающих регистрацию всех событий, связанных с фактами изменения элементов конфигурации, в журнале регистрации событий.

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23780 💥

Открыть в новой вкладке

5.9 Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента людскими ресурсами ГОСТ Р 56939-2016

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23726 💥

Открыть в новой вкладке

5.9.1 Меры по разработке безопасного программного обеспечения, подлежащие реализации ГОСТ Р 56939-2016

В процессе менеджмента людскими ресурсами разработчик ПО должен реализовать следующие меры:

периодическое обучение сотрудников;
периодический анализ программы обучения сотрудников.

[из 5.9.1 Меры по разработке безопасного программного обеспечения, подлежащие реализации ГОСТ Р 56939-2016]

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23784 💥

Открыть в новой вкладке

5.9.2 Цели и результаты реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

Реализация мер способствует достижению цели поддержания и улучшения компетентности сотрудников разработчика ПО в области разработки безопасного ПО.

В результате успешной реализации мер развиваются, поддерживаются или улучшаются навыки сотрудников разработчика ПО в области разработки безопасного ПО [из 5.9.2 Цели и результаты реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016]

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23784 💥

Открыть в новой вкладке

5.9.3 Требования к реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23784 💥

Открыть в новой вкладке

5.9.3.1 ГОСТ Р 56939-2016

Разработчик ПО должен проводить периодическое обучение сотрудников с целью повышения их осведомленности в области разработки безопасного ПО.

Для подтверждения соответствия требованиям настоящего стандарта документация разработчика ПО должна содержать:

правила и программы обучения;
сведения о периодичности обучения;
сведения о прохождении сотрудниками обучения.

Примечание - В программу обучения могут входить курсы, посвященные моделированию угроз безопасности информации, экспертизы исходного кода программы, тестирования на проникновение, статического анализа исходного кода программы, динамического анализа кода программы. К проведению обучения сотрудников могут привлекаться сторонние организации [из 5.9.3.1 ГОСТ Р 56939-2016]

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

⇪В 23787 💥

Открыть в новой вкладке

Техническая документация

разработка техдокументации по ГОСТ без бумаги и расстояний

Из ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования

5.8.2 Цели и результаты реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

5.8.3 Требования к реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

5.8.3.1 ГОСТ Р 56939-2016

5.8.3.2 ГОСТ Р 56939-2016

5.8.3.3 ГОСТ Р 56939-2016

5.9 Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента людскими ресурсами ГОСТ Р 56939-2016

5.9.1 Меры по разработке безопасного программного обеспечения, подлежащие реализации ГОСТ Р 56939-2016

5.9.2 Цели и результаты реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

5.9.3 Требования к реализации мер по разработке безопасного программного обеспечения ГОСТ Р 56939-2016

5.9.3.1 ГОСТ Р 56939-2016

Страницы