Внедрение процедур разработки безопасного ПО — это объективная необходимость, связанная с последними требованиями отечественных регуляторов. В частности, 19 сентября 2022 года ФСТЭК России внёс изменение в «Положение о системе сертификации средств защиты информации», предусматривающее прохождение компанией-лицензиатом ФСТЭК России процедуры сертификации соответствия процедур безопасной разработки программного обеспечения требованиям национальных стандартов в области защиты информации (Требования к процедуре такой сертификации планируется определить в 2023 году).
Выборка из списка знаний и технологий, подлежащих внедрению и автоматизации в ходе выстраивания SDL-процессов в современной компании, включает:
- моделирование и проектирование безопасной архитектуры;
- анализ безызбыточности внешних интерфейсов и прав доступа к ресурсам;
- статический анализ исходного кода;
- статический анализ конфигураций модулей и контейнеров;
- использование безопасных тулчейнов;
- выявление и устранение рисков от известных уязвимостей сторонних компонентов;
- модульное и функциональное тестирование, фаззинг-тестирование;
- выявление недекларированных взаимодействий со средой функционирования;
- анализ утечек чувствительных данных;
- web-тестирование на проникновение;
- обучение сотрудников в парадигме безопасной разработки.
Наш опыт сертификации показывает, что правильно поставленный в компании SDL-процесс – это гарантия относительно быстрой и недорогой сертификации программного обеспечения, а также конкурентное преимущество компании.
Испытательная лаборатория ООО НТЦ «Фобос-НТ» имеет большой опыт в построении процессов разработки безопасного ПО в отечественных компаниях с опорой на требования ФСТЭК России, ФСБ России и технологии ИСП РАН (в разделе «О нас» вы можете ознакомиться с некоторыми публичными свидетельствами нашей компетентности в данных вопросах).
В качестве вашего проводника в мир разработки безопасного ПО мы можем предложить следующие три пакета услуг:
- начальный пакет, который включает в себя ознакомление разработчика с концепцией современного SDL, требованиями ФСТЭК России и ФСБ России, проведение кратких курсов по основным SDL-практикам, демонстрацию подходов к разработке консистентной документации на разрабатываемое ПО и процесс в целом, верхнеуровневый анализ степени внедрения практик безопасной разработки и формирование дорожной карты по внедрению практик SDL в компании;
- базовый пакет, который включается в себя начальный пакет, а также курсы по конкретным практикам SDL, консультацию и практическую помощь во внедрение процессов, предоставление шаблонов и вариантов конструкторской, эксплуатационной, технической и тестовой документации;
- профессиональный пакет, который включает в себя базовый пакет, а также аудит созданных процессов, формирование дорожной карты по их совершенствованию в соответствие с вектором развития требований, практическую помощь в реализации дорожной карты, итоговый аудит с оформлением отчета и, по желанию и готовности заказчика, представление результатов аудита на конференциях, семинарах или потенциальным заказчикам продуктов компании.
Состав, перечень (количество) услуг, их ориентировочную стоимость и другие интересующие вас вопросы касающиеся организации и проведения работ по сертификации СЗИ можно уточнить написав Хрыкову Сергею Владимировичу и Пономарёву Дмитрию Владимировичу.