Найти тему
АРСИБ
728 подписчиков

КАК ОРГАНИЗОВАТЬ БЕЗОПАСНУЮ РАЗРАБОТКУ В ОРГАНИЗАЦИИ?

88
3 мин

Безопасная разработка программного обеспечения (БРПО) - это процесс разработки программного обеспечения (ПО), который учитывает безопасность на всех этапах жизненного цикла. БРПО направлена на предотвращение уязвимостей в ПО, которые могут быть использованы злоумышленниками для нанесения ущерба организации или ее контрагентам. В рамках данной статьи разберем значение процесса БРПО в организации, его создание, сложности и пути их преодоления.

БРПО важна по следующим причинам:

  • Уменьшение вероятности реализации угроз и количества уязвимостей в ПО помогает защитить ПО от уязвимостей, которые могут быть использованы злоумышленниками для причинения вреда информационным ресурсам организации.
  • Улучшение качества ПО - помогает повысить качество ПО, делая его более надежным и устойчивым к ошибкам.
  • Сокращение издержек – применение процедур БРПО сокращает затраты на устранение уязвимостей в программном обеспечении как на этапе разработки, так и после его выпуска.

БРПО - это процесс, который включает в себя следующие этапы:

-2

Организациями, заинтересованными в создании процессов БРПО (стейкхолдерами) являются:

-3

Указанным в таблице организациям необходимо создать процессы безопасной разработки (в части касающейся). Попробую предложить пошаговый план, по внедрению процессов БРПО в организации:

Первое, с чего нужно начать (Шаг 1) – это разработать и внедрить политики и процедуры БРПО. Политики и процедуры должны охватывать все аспекты БРПО, от требований до развертывания. Методической базой для разработки политик являются:

  • ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
  • ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования
  • ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения.
  • ГОСТ Р ИСО/МЭК 12207-2010 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств
  • ГОСТ Р ИСО/МЭК 15408-1-2012 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий (1-3 части)
  • ГОСТ Р 58412-2019 Разработка безопасного программного обеспечения. угрозы безопасности информации при разработке программного обеспечения
  • ГОСТ Р 58143-2018 Тестирование проникновения
  • ГОСТ Р ИСО/МЭК 18045-2013 Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий
  • ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
  • ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
  • ГОСТ Р 56939-2016 Разработка безопасного программного обеспечения. общие требования
  • Методические документы ФСТЭК России (по БРПО и управлению уязвимостями)
  • Практики БРПО других компаний

Шаг 2. Внедрить инструменты и методы для автоматизации процессов БРПО. Инструменты и методы могут помочь сотрудникам автоматизировать задачи, связанные с безопасностью, такие как сканирование кода на наличие уязвимостей и управление конфигурацией.

Шаг 3. Создать среду, в которой сотрудники могут безопасно разрабатывать и тестировать программное обеспечение. Внедрить программное обеспечение для статического и динамического анализа исходного кода, создать фаззинг ферму для фаззинг тестирования (если оно необходимо).

Шаг 4. Обеспечить обучение сотрудников по вопросам безопасности разработки ПО. Обучение должно охватывать основы безопасности ПО, а также конкретные практики и методы, которые необходимо применять в организации.

Шаг 5. Регулярно проводить аудиты безопасности разработки ПО (аудиты процессов БРПО). Аудиты помогут оценить эффективность внедренных процессов БРПО и выявить области для улучшения.

Проблемы, которые могут возникнуть при внедрении процессов БРПО в организации и их решение:

-4

БРПО - это непрерывный процесс. Необходимо регулярно пересматривать и обновлять меры безопасности в соответствии с новыми угрозами и уязвимостями.

Кроме того, безопасность инфраструктуры и данных также является важным аспектом БРПО. Для обеспечения безопасности инфраструктуры и данных необходимо использовать межсетевые экраны, регулярно обновлять программное обеспечение и системы безопасности, использовать системы обнаружения и предотвращения вторжений, а также создавать резервные копии данных и хранить их в безопасном месте.

Более подробно вы можете ознакомиться в ролике:

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

-5

Источник: https://cs.groteck.ru/IB_5_2023/60/index.html

Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!

2
Взгляните на эти темы
Экономика
Гаджеты и электроника
Найти тему
Технологии и IT
Бизнес и финансы
Недвижимость
Энергетика и электросети
Экономическая аналитика
Инвестиции
Банковские услуги
Бизнес и предпринимательство
Рынок труда
Цифровая экономика
Промышленность
Товары и цены
Налоги и вычеты
Льготы и пособия
Центральный банк
Предприниматели
Умные колонки
Колонки и аудиосистемы
Экономика
10,02 млн интересуются