Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 58412-2019 "Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 мая 2019 г. N 204-ст)
- Приложение А (справочное). Информация о мерах по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939-2016, реализация которых способствует нейтрализации угроз безопасности информации при разработке программного обеспечения
Приложение А (справочное). Информация о мерах по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939-2016, реализация которых способствует нейтрализации угроз безопасности информации при разработке программного обеспечения
Приложение А
(справочное)
Информация о мерах по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939-2016, реализация которых способствует нейтрализации угроз безопасности информации при разработке программного обеспечения
Таблица А.1 - Соответствие между угрозами безопасности информации при разработке ПО и мерами по разработке безопасного ПО, установленными ГОСТ Р 56939-2016
|
Угроза безопасности информации при разработке ПО |
Мера по разработке безопасного ПО согласно ГОСТ Р 56939-2016 |
|
5.1.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при задании требований по безопасности, предъявляемых к создаваемому программному обеспечению |
Определение требований по безопасности, предъявляемых к разрабатываемому ПО (5.1.3.1); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.1.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о требованиях по безопасности, предъявляемых к создаваемому программному обеспечению |
Определение, документирование и соблюдение политики информационной безопасности (4.13) |
|
5.2.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при создании проекта архитектуры программы |
Моделирование угроз безопасности информации (5.2.3.1); уточнение проекта архитектуры программы с учетом результатов моделирования угроз безопасности информации (5.2.3.2); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной (4.13); периодический анализ программы обучения работников (5.9.3.2); |
|
5.2.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о проекте архитектуры программы |
Определение, документирование и соблюдение политики информационной безопасности (4.13) |
|
5.3.1 Угроза внедрения уязвимостей в исходный код программы в ходе его разработки |
Создание программы на основе уточненного проекта архитектуры программы (5.3.3.2); создание (выбор) и использование при создании программы порядка оформления исходного кода программы (5.3.3.3); статический анализ исходного кода программы (5.3.3.4), экспертиза исходного кода программы (5.3.3.5), проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (п. 4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.3.2 Угроза внедрения уязвимостей программы путем использования заимствованных у сторонних разработчиков программного обеспечения уязвимых компонентов |
Статический анализ исходного кода программы (5.3.3.4); экспертиза исходного кода программы (5.3.3.5); проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.3.3 Угроза внедрения уязвимостей программы из-за неверного использования инструментальных средств при разработке программного обеспечения |
Проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.3.4 Угроза появления уязвимостей программы вследствие ошибок, допущенных в эксплуатационных документах в ходе осуществления их разработки и хранения |
Поставка пользователю эксплуатационных документов (5.5.3.2); проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); - защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); - резервное копирование элементов конфигурации (5.8.3.2); - регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3). Определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.3.5 Угроза выявления уязвимостей программы вследствие раскрытия исходного кода программы |
Определение, документирование и соблюдение политики информационной безопасности (4.13) |
|
5.4.1 Угроза появления уязвимостей вследствие изменения тестовой документации с целью сокрытия уязвимостей программы |
Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.4.2 Угроза выявления уязвимостей вследствие раскрытия информации о тестировании программного обеспечения |
Определение, документирование и соблюдение политики информационной безопасности (4.13) |
|
5.4.3 Угроза появления уязвимостей программы вследствие совершения ошибок при выполнении тестирования программного обеспечения |
Функциональное тестирование программы (5.4.3.1), тестирование на проникновение (5.4.3.2), динамический анализ кода программы (5.4.3.3), фаззинг-тестирование программы (5.4.3.4). Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.5.1 Угроза внедрения уязвимостей в программу в процессе ее поставки |
Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); - определение, документирование и соблюдение политики информационной безопасности (4.13) |
|
5.5.2 Угроза появления уязвимостей программы вследствие модификации эксплуатационных документов при их передаче пользователю |
Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.5.3 Угроза внедрения уязвимостей в обновления программного обеспечения |
Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1); проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.6.1 Угроза неисправления обнаруженных уязвимостей программы |
Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы |
Определение, документирование и соблюдение политики информационной безопасности (4.13) |
|
5.7.1 Угроза внедрения в программу уязвимостей при управлении конфигурацией программного обеспечения |
Проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2-5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
5.9.1 Угроза появления уязвимостей программы вследствие совершения разработчиком программного обеспечения ошибок при обучении своих работников в области разработки безопасного программного обеспечения |
Периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2) |
|
<< Назад |
||
|
Содержание Национальный стандарт РФ ГОСТ Р 58412-2019 "Защита информации. Разработка безопасного программного обеспечения. Угрозы... |