Приказ Федеральной службы по техническому и экспортному контролю от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации»
Ссылки
- Публикация на Официальном интернет-портале правовой информации (PDF-файл)
- Сайт ФСТЭК России
- Официальный текст на сайте в формате PDF
- Сохранённый текст в формате PDF
- Консультант+
- Гарант
Обзоры документа
Аналитический центр УЦСБ
Сертификация проводится в целях подтверждения соответствия процессов безопасной разработки ПО, внедренных изготовителем СрЗИ, требованиям национального стандарта ГОСТ Р 56939-2016 «ЗИ. Разработка безопасного ПО. Общие требования». Основные задачи нового вида сертификации:
- сокращение сроков дополнительных мероприятий по подтверждению уязвимостей в обновленном СрЗИ;
- сокращение периода, в рамках которого будет подтверждаться, что обновленная версия продукта безопасна;
- экономия части финансов изготовителя СрЗИ.
Основными процессами, которые проверяются в ходе сертификации процессов безопасной разработки ПО СрЗИ, являются:
- оценка соответствия законодательным требованиям руководства и документации по безопасной разработке ПО и документации, имеющихся у изготовителя (заявителя);
- проверка наличия у изготовителя средств разработки ПО, а также средств, предназначенных для проведения композиционного, статического и динамического анализа ПО;
- проверка реализации изготовителем процессов разработки безопасного ПО, прописанных в руководстве и в документации по безопасной разработке ПО;
- проверка реализации изготовителем процедур поддержки безопасности ПО;
- проверка выполнения требований к обучению специалистов изготовителя, участвующих в реализации процессов безопасной разработки ПО.
Определены перечень сведений, указываемых изготовителем в заявке на сертификацию, и прилагаемые к ней документы, порядок их рассмотрения ФСТЭК России, принятия и оформления решения о проведении сертификации, порядок проведения сертификации и оформления соответствующих протоколов.
В приложениях приведены рекомендуемые образцы заявки на сертификацию процессов безопасной разработки ПО, решения о проведении сертификации, сертификата соответствия.
Приказ вступит в силу 1 июня 2024 года.
Гарант ПРАЙМ
C 1 июня 2024 г. устанавливаются правила сертификации процессов безопасной разработки ПО средств защиты информации.
Речь идет о проектировании и производстве ПО для защиты гостайны и иной информации ограниченного доступа. Чтобы получить сертификат соответствия, нужно подать заявку в ФСТЭК. Сертификация проводится на материально-технической базе изготовителя.
Текст документа
Быстрый просмотр сохранённой копии