Приказ Федерального агентства по техническому регулированию и метрологии от 24.10.2024 № 1504-ст «Об утверждении национального стандарта ГОСТ Р 56939-2024 “Защита информации. Разработка безопасного программного обеспечения. Общие требования”»
Внимание
Текст проекта стандарта доступен на сайте ФСТЭК России: Проект национального стандарта ГОСТ Р 56939 “Защита информации. Разработка безопасного программного обеспечения. Общие требования” (пересмотр ГОСТ Р 56939-2016)
Суть
С 20 декабря 2024 года вводится в действие ГОСТ Р 56939-2024 “Защита информации. Разработка безопасного программного обеспечения. Общие требования”. Стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного ПО и устранением выявленных недостатков, в том числе уязвимостей. Предназначен для разработчиков и производителей ПО, а также для организаций, выполняющих оценку соответствия процессов разработки ПО положениям настоящего стандарта. Документ заменяет ГОСТ Р 56939-2016.
Ссылки
- Сайт Российского института стандартизации
- Официальный текст на сайте в формате постраничного просмотра
- Сохранённый текст в формате PDF
Изменяемые документы
- Приказ Росстандарта №458-ст от 01.06.2016 «Об утверждении ГОСТ Р 56939-2016»
Выдержка
Настоящий стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения (ПО) и устранением выявленных недостатков, в том числе уязвимостей, ПО. Настоящий стандарт предназначен для разработчиков и производителей ПО, а также для организаций, выполняющих оценку соответствия процессов разработки ПО положениям настоящего стандарта. Настоящий стандарт предусматривает применение в комплексе с другими национальными стандартами по разработке безопасного ПО, в которых раскрываются вопросы внедрения и оценки соответствия положениям настоящего стандарта, задаются требования к отдельным технологиям, применяемым в процессах разработки.
Обзоры документа
Аналитический центр УЦСБ
Официально опубликован ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения (далее – ПО). Общие требования», который введен взамен ГОСТ Р 56939-2016.
В отличии от ГОСТ Р 56939-2016, который содержал меры по разработке безопасного ПО и ограничивался анализом требований, проектированием архитектуры, конструированием, комплексированием, тестированием и менеджментом, новый стандарт включает обновленные требования, содержит большее количество артефактов, а также более детально декомпозирует процесс разработки безопасного ПО на процессы:
- планирование процессов разработки безопасного ПО;
- формирование и предъявление требований безопасности;
- управление конфигурацией;
- управление недостатками и запросами на изменение;
- разработка, уточнение и анализ архитектуры;
- моделирование угроз и разработка описания поверхности атак;
- формирование и поддержание в актуальном состоянии правил кодирования;
- экспертиза исходного кода;
- статический, динамический анализ кода;
- использование безопасной системы сборки;
- обеспечение безопасности используемых секретов и иные.
Каждый процесс сдержит цель его реализации, требования к реализации и артефакты. Артефактами может являться любая информация, подтверждающая реализацию требований. Так, например, артефактами процесса управления недостатками и запросами на изменение являются регламент управления недостатками ПО и регламент управления запросами на изменение ПО.
Стандарт вводится в действие с 20 декабря 2024 года.
Текст документа
Быстрый просмотр сохранённой копии