4.2 Меры по разработке безопасного ПО, представленные в настоящем стандарте, выражены в форме требования, рекомендации или допустимого действия, предназначенных для поддержки достижения результатов реализации мер. Для этой цели в настоящем стандарте используют вспомогательные глаголы «должен», «следует» и «может», чтобы подчеркнуть различие между разными формами требований к реализации мер. Глагол «должен» использован для выражения условия, требуемого для соответствия, «следует» — для выражения рекомендации среди других возможностей, «может» — для того, чтобы отразить направление допустимых действий в пределах ограничений настоящего стандарта [из 4.2 ГОСТ Р 56939–2016]

4.4 Для соответствия требованиям настоящего стандарта разработчик ПО должен обеспечить реализацию и проводить внутренние проверки мер по разработке безопасного ПО, приведенных в разделе 5 (базовый набор мер по разработке безопасного ПО), в процессах жизненного цикла ПО, установленных ГОСТ Р ИСО/МЭК 12207, а также работать над улучшением процессов, связанных с разработкой безопасного ПО [из 4.4 ГОСТ Р 56939–2016]

4.6 Если разработчик ПО планирует проведение оценки ПО в соответствии с ГОСТ Р ИСО/МЭК 15408–1, ГОСТ Р ИСО/МЭК 15408–2, ГОСТ Р ИСО/МЭК 15408–3, то подготовку ПО к оценке можно осуществлять в рамках действующих процессов, в которых реализованы меры по разработке безопасного ПО, путем выполнения дополнительных мер. В таблице А.1 приложения А отображена взаимосвязь мер по разработке безопасного ПО, установленных настоящим стандартом, и требований доверия к безопасности по ГОСТ Р ИСО/М ЭК 15408–3, которую можно использовать при подготовке ПО к оценке по ГОСТ Р ИСО/МЭК 15408–1, ГОСТ Р ИСО/МЭК 15408–2, ГОСТ Р ИСО/МЭК 15408–3 [из 4.6 ГОСТ Р 56939–2016]

4.8 Разработчик ПО должен проводить внутренние проверки выполнения мер по разработке безопасного ПО, позволяющие установить, что реализуемые меры соответствуют требованиям настоящего стандарта [из 4.8 ГОСТ Р 56939–2016]

4.10 Разработчик ПО должен создать руководство по разработке безопасного ПО, содержащее:

• описание области действия руководства (идентификационные признаки ПО, для которого реализуют меры по разработке безопасного ПО);
• цели организации в области создания безопасного ПО;
• перечень и описание мер по разработке безопасного ПО, подлежащих реализации в среде разработки ПО;
• распределение ролей и обязанностей, связанных с реализацией мер по разработке безопасного ПО, между работниками;
• перечень документации разработчика ПО, связанной с реализацией мер по разработке безопасного ПО;
• правила и требования, относящиеся к планированию и проведению внутренних проверок реализации мер по разработке безопасного ПО, сообщений о результатах;
• описание действий, направленных на улучшение процессов, связанных с разработкой безопасного ПО.

При реализации компенсирующих мер по разработке безопасного ПО в руководстве по разработке безопасного ПО должно быть приведено обоснование применения компенсирующих мер, включающее:

• изложение причин исключения меры (мер) по разработке безопасного ПО;
• описание содержания компенсирующих мер по разработке безопасного ПО;
• сравнительный анализ компенсирующих мер по разработке безопасного ПО с мерами, исключаемыми из состава базового набора мер по разработке безопасного ПО;
• аргументацию, подтверждающую, что предлагаемые компенсирующие меры разработки безопасного ПО обеспечивают достижение целей, соответствующих исключаемым мерам по разработке безопасного ПО.

[из 4.10 ГОСТ Р 56939–2016]

4.12 Разработка документации разработчика ПО, связанной с реализацией мер по разработке безопасного ПО, может быть направлена:

• на организацию работ по созданию безопасного ПО, выполняемых в рамках процессов жизненного цикла ПО;
• подтверждение соответствия требованиям настоящего стандарта.

В перечень документации разработчика ПО могут входить эксплуатационные документы, а также документ:

• содержащий требования по безопасности, предъявляемые к разрабатываемому ПО;
• содержащий сведения о результатах моделирования угроз безопасности информации;
• содержащий сведения о проекте архитектуры программы;
• описывающий используемые инструментальные средства;
• содержащий информацию о прослеживаемости исходного кода программы к проекту архитектуры программы;
• содержащий порядок оформления исходного кода программы;
• содержащий сведения о результатах проведения статического анализа исходного кода программы;
• содержащий сведения о результатах проведения экспертизы исходного кода программы;
• содержащий сведения о результатах проведения функционального тестирования программы;
• содержащий сведения о результатах проведения тестирования на проникновение;
• содержащий сведения о результатах проведения динамического анализа кода программы;
• содержащий сведения о результатах проведения фаззинг–тестирования программы;
• содержащий описание процедуры передачи ПО пользователю;
• содержащий описание процедур отслеживания и исправления обнаруженных ошибок ПО и уязвимостей программы;
• содержащий описание процедуры поиска разработчиком ПО уязвимостей программы;
• описывающий реализацию и использование процедуры уникальной маркировки каждой версии ПО;
• описывающий использование системы управления конфигурацией ПО;
• описывающий меры, используемые для защиты инфраструктуры среды разработки ПО;
• содержащий сведения об обучении сотрудников.

Требования к содержанию указанных документов представлены в разделе 5. Требований к количеству и номенклатуре документов не предъявляется. Разработчик ПО может скомпоновать необходимые сведения по своему усмотрению. Документы могут быть выполнены в виде бумажных или электронных документов. Для организации работ, выполняемых в рамках процесса эксплуатации ПО, разработчик ПО должен передать пользователю эксплуатационные документы [из 4.12 ГОСТ Р 56939–2016]