Аудит процессов разработки безопасного ПО в компаниях
Ввод в действие ФСТЭК России приказа №240, регламентирующего Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, сопровождается ажиотажным желанием компаний, судя по количеству обращений к нам, побыстрее сертифицировать процессы РБПО в своих компаниях. Однако стоит «остудить горячие головы», так как для получения заветного сертификата компаниям потребуется не только внедрить требуемый набор самых перспективных технологий безопасной разработки, но и защитить их перед экспертами-профессионалами в данной области. На момент 10 июня 2024 г. в реестре аккредитованных ФСТЭК России органов по сертификации присутствует только один орган, аккредитованный по 5 области, разрешающей сертификацию процессов РБПО – Институт системного программирования РАН им. В. П. Иванникова. Институт является бесспорным лидером в области создания технологий и методик анализа, сотрудник института В. А. Падарян является председателем подкомитета №4 «Безопасная разработка» в техническом комитете № 362.
С учетом этого, представляется вполне обоснованным проведение предварительной оценки готовности компании к сертификации своих процессов РБПО, и последующей доработки регламентов и процессов перед подачей заявки на сертификацию. В этом, в значительной степени, может помочь предлагаемый нами аудит процессов разработки безопасного ПО в ваших компаниях.
Данный аудит заключается в проверке соответствия реализованных в компании процессов, требованиям обновленного ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», а также, по запросу заказчика, требованиям Методики ВУ и НДВ ФСТЭК России (в части конкретных инженерных практик) и комплекту лучших практик.
Аудит проводится в форме онлайн и офлайн собеседований с представителями команд разработки и сервисных команд, направленных на непосредственный анализ уровня знаний, глубины и регулярности выполнения практик. Собеседования сопровождаются демонстрацией технологических артефактов, подтверждающих глубину, качество и регулярность выполнения соответствующих практик. При этом сам факт наличия тех или иных регламентов (документов) в компании является только поводом для вопросов аудитора, но сам по себе не является подтверждением выполнения компанией требований ГОСТ.
Результаты аудита позволят сформировать дорожную карту внедрения и развития процессов безопасной разработки в компании, оценить ресурсозатраты, оценить готовность к подаче заявки на прохождение сертификации процессов РБПО.
Компетенции наших экспертов в проведении аудита процессов разработки безопасного ПО в компаниях и их соответствия сертификационным требованиям, заключаются:
- опыт проведения аудита в различных средних и крупных компаниях, в том числе АО «Лаборатория Касперского» - основном разработчике ГОСТ Р 56939-2024;
- непосредственное участие в разработке нормативно-методической базы в данной области. НТЦ Фобос-НТ является соавтором принятого ГОСТ Р 56939-2024, соавтором разрабатываемого ГОСТ «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»;
- квалификацией сотрудников, являющихся активными участниками сообщества Центра компетенций ФСТЭК России и ИСП РАН, и преподавателями на курсах ФСТЭК России по фаззинг-тестированию и архитектурному анализу.
Состав, перечень, формат услуг по аудиту процессов разработки безопасного ПО, их ориентировочную стоимость и другие интересующие вас вопросы, можно уточнить, написав Хрыкову Сергею Владимировичу и Пономареву Дмитрию Владимировичу .