SlideShare una empresa de Scribd logo
1 de 11
Как мы писали ГОСТ по SSDL,
и что из этого получилось
Александр Барабанов,
кандидат технических наук, CISSP, CSSLP
Меры, применяемые регулятором в
области создания безопасного ПО
2
1. Создание и поддержка базы данных
уязвимостей ПО
2. Проведение анализа уязвимостей в
рамках сертификации (ISO/IEC TR
20004)
3. НПА нового поколения (AVA_VAN)
4. Создание ГОСТ Р по уязвимостям ИС
5. Рекомендации по обновлению
сертифицированных средств защиты
информации (проект)
Специальные требования к
процессу разработки
программного обеспечения
не определены
Оценка программного обеспечения Оценка процесса разработки
Разработанный национальный стандарт:
учитываемые особенности
3
Разработанный ГОСТ Р «Защита
информации. Разработка
безопасного программного
обеспечения. Общие требования»
«Лучшие
практики»
СМИБ
(27001) и
12207
«Общие
критерии»
Возможность
интеграции с
СМИБ,
согласованность
с процессами
жизненного цикла
по ГОСТ Р
ИСО/МЭК 12207
Обеспечение
внедрения
необходимых
процедур на самых
ранних стадиях
жизненного цикла
Совместимость с
ГОСТ Р ИСО/МЭК
15408,
возможность
проведения
оценки
соответствия
апрель,
2013
Начало
разработки
август,
2013
май,
2014
Проект
первой
редакции
Окончательная
редакция
сентябрь,
2015
Уточненная
окончательная
редакция
Утверждение в
Росстандарте
июль,
2016
Публичные обсуждения в рамках
ТК 362 «Защита информации»:
- 22 организации
- ~ 200 замечаний и предложений
Разработанный национальный стандарт:
этапы выполнения проекта
4
Апробация в
рамках НИР
Меры по разработке
безопасного программного обеспечения (1)
Меры по разработке
безопасного программного обеспечения
Microsoft SDL
BSIMM
OWASP CLASP
Методологии
«Общие критерии»
Документы МО США
Стандарты
ISO/IEC TR 24772
5
Open SAMMISO/IEC 27034-1
Cisco SDLРС БР ИББС-2.6-2014
Меры по разработке
безопасного программного обеспечения (2)
6
Процесс анализа
требований
Процесс
проектирования
архитектуры
Процесс
конструирования
Процесс
квалификационного
тестирования
Процессы реализации ПО
Фаззинг-тестирование
программы
Определение требований
к безопасному ПО
Моделирование угроз
Использование
идентифицированных
средств разработки
Использование порядка
оформления исходного
кода программы
Статический анализ
исходного кода
программы
Экспертиза исходного
кода программы
Динамический анализ
кода программы
Тестирование на
проникновение
Функциональное
тестирование
Меры по разработке
безопасного программного обеспечения (3)
7
Процессы
менеджмента
документации и
конфигурации
Процесс решения
проблем в ПО в
процессе
эксплуатации
Процессы поддержки ПОУникальная маркировка
каждой версии ПО
Использование системы
управления
конфигурацией
Исправление
обнаруженных
уязвимостей программы
Систематический поиск
уязвимостей программы
Процесс менеджмента
инфраструктуры
среды разработки ПО
Процесс менеджмента
людских ресурсов
Процессы орг. обеспечения
Регистрация событий
Резервное копирование
элементов конфигурации
Защита элементов
конфигурации
Периодический анализ
программы обучения
сотрудников
Периодическое обучение
сотрудников
Меры по разработке
безопасного программного обеспечения (4)
8
Набор мер
мера 1
мера 2
мера n
Цели и результаты
цель 1
цель m
Требования к реализации
требование 1
требование k
Процесс ЖЦ ПО
Взаимосвязь разработанного стандарта с
другими национальными стандартами
9
Перспективы развития 10
1. Использование проекта ГОСТ в рамках
сертификации (проверка производства)
и/или лицензирования деятельности,
выполняемых по линии ФСТЭК России
2. Планируется разработка документов,
развивающих положения созданного
документа:
• перечень типовых угроз БИ
• рекомендации по реализации мер
• рекомендации по проведению оценки
соответствия
Контактная информация
107023, Москва, ул. Электрозаводская, 24
+7(495) 223-23-92
+7(495) 645-38-11
http://www.npo-echelon.ru
ab@cnpo.ru

Más contenido relacionado

Destacado

Город никогда не спит / The City Never Sleeps
Город никогда не спит / The City Never SleepsГород никогда не спит / The City Never Sleeps
Город никогда не спит / The City Never SleepsPositive Hack Days
 
Целевые атаки: прицелься первым
Целевые атаки: прицелься первымЦелевые атаки: прицелься первым
Целевые атаки: прицелься первымPositive Hack Days
 
Угадываем пароль за минуту
Угадываем пароль за минутуУгадываем пароль за минуту
Угадываем пароль за минутуPositive Hack Days
 
Как начать бизнес в ИБ
Как начать бизнес в ИБКак начать бизнес в ИБ
Как начать бизнес в ИБPositive Hack Days
 
Flash умер. Да здравствует Flash!
Flash умер. Да здравствует Flash!Flash умер. Да здравствует Flash!
Flash умер. Да здравствует Flash!Positive Hack Days
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОВосток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
 
Аспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятииАспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятииPositive Hack Days
 
Fingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare InfrastructureFingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare InfrastructurePositive Hack Days
 
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationJanitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationPositive Hack Days
 
Эксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAPЭксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAPPositive Hack Days
 
Боремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играхБоремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играхPositive Hack Days
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
 
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблюNFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблюPositive Hack Days
 
Ковбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградойКовбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградойPositive Hack Days
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorPositive Hack Days
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructPositive Hack Days
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!Positive Hack Days
 
Безопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без другаБезопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без другаPositive Hack Days
 
Страх и ненависть в телеком-операторах
Страх и ненависть в телеком-операторахСтрах и ненависть в телеком-операторах
Страх и ненависть в телеком-операторахPositive Hack Days
 

Destacado (20)

Город никогда не спит / The City Never Sleeps
Город никогда не спит / The City Never SleepsГород никогда не спит / The City Never Sleeps
Город никогда не спит / The City Never Sleeps
 
Целевые атаки: прицелься первым
Целевые атаки: прицелься первымЦелевые атаки: прицелься первым
Целевые атаки: прицелься первым
 
Угадываем пароль за минуту
Угадываем пароль за минутуУгадываем пароль за минуту
Угадываем пароль за минуту
 
Как начать бизнес в ИБ
Как начать бизнес в ИБКак начать бизнес в ИБ
Как начать бизнес в ИБ
 
Flash умер. Да здравствует Flash!
Flash умер. Да здравствует Flash!Flash умер. Да здравствует Flash!
Flash умер. Да здравствует Flash!
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОВосток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
 
Аспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятииАспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятии
 
Fingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare InfrastructureFingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare Infrastructure
 
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationJanitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
 
Эксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAPЭксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAP
 
Боремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играхБоремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играх
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
 
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблюNFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
 
Ковбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградойКовбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградой
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense Vector
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai Struct
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
 
Безопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без другаБезопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без друга
 
Страх и ненависть в телеком-операторах
Страх и ненависть в телеком-операторахСтрах и ненависть в телеком-операторах
Страх и ненависть в телеком-операторах
 

Más de Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Más de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Как мы писали ГОСТ по SSDL, и что из этого получилось

  • 1. Как мы писали ГОСТ по SSDL, и что из этого получилось Александр Барабанов, кандидат технических наук, CISSP, CSSLP
  • 2. Меры, применяемые регулятором в области создания безопасного ПО 2 1. Создание и поддержка базы данных уязвимостей ПО 2. Проведение анализа уязвимостей в рамках сертификации (ISO/IEC TR 20004) 3. НПА нового поколения (AVA_VAN) 4. Создание ГОСТ Р по уязвимостям ИС 5. Рекомендации по обновлению сертифицированных средств защиты информации (проект) Специальные требования к процессу разработки программного обеспечения не определены Оценка программного обеспечения Оценка процесса разработки
  • 3. Разработанный национальный стандарт: учитываемые особенности 3 Разработанный ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Общие требования» «Лучшие практики» СМИБ (27001) и 12207 «Общие критерии» Возможность интеграции с СМИБ, согласованность с процессами жизненного цикла по ГОСТ Р ИСО/МЭК 12207 Обеспечение внедрения необходимых процедур на самых ранних стадиях жизненного цикла Совместимость с ГОСТ Р ИСО/МЭК 15408, возможность проведения оценки соответствия
  • 4. апрель, 2013 Начало разработки август, 2013 май, 2014 Проект первой редакции Окончательная редакция сентябрь, 2015 Уточненная окончательная редакция Утверждение в Росстандарте июль, 2016 Публичные обсуждения в рамках ТК 362 «Защита информации»: - 22 организации - ~ 200 замечаний и предложений Разработанный национальный стандарт: этапы выполнения проекта 4 Апробация в рамках НИР
  • 5. Меры по разработке безопасного программного обеспечения (1) Меры по разработке безопасного программного обеспечения Microsoft SDL BSIMM OWASP CLASP Методологии «Общие критерии» Документы МО США Стандарты ISO/IEC TR 24772 5 Open SAMMISO/IEC 27034-1 Cisco SDLРС БР ИББС-2.6-2014
  • 6. Меры по разработке безопасного программного обеспечения (2) 6 Процесс анализа требований Процесс проектирования архитектуры Процесс конструирования Процесс квалификационного тестирования Процессы реализации ПО Фаззинг-тестирование программы Определение требований к безопасному ПО Моделирование угроз Использование идентифицированных средств разработки Использование порядка оформления исходного кода программы Статический анализ исходного кода программы Экспертиза исходного кода программы Динамический анализ кода программы Тестирование на проникновение Функциональное тестирование
  • 7. Меры по разработке безопасного программного обеспечения (3) 7 Процессы менеджмента документации и конфигурации Процесс решения проблем в ПО в процессе эксплуатации Процессы поддержки ПОУникальная маркировка каждой версии ПО Использование системы управления конфигурацией Исправление обнаруженных уязвимостей программы Систематический поиск уязвимостей программы Процесс менеджмента инфраструктуры среды разработки ПО Процесс менеджмента людских ресурсов Процессы орг. обеспечения Регистрация событий Резервное копирование элементов конфигурации Защита элементов конфигурации Периодический анализ программы обучения сотрудников Периодическое обучение сотрудников
  • 8. Меры по разработке безопасного программного обеспечения (4) 8 Набор мер мера 1 мера 2 мера n Цели и результаты цель 1 цель m Требования к реализации требование 1 требование k Процесс ЖЦ ПО
  • 9. Взаимосвязь разработанного стандарта с другими национальными стандартами 9
  • 10. Перспективы развития 10 1. Использование проекта ГОСТ в рамках сертификации (проверка производства) и/или лицензирования деятельности, выполняемых по линии ФСТЭК России 2. Планируется разработка документов, развивающих положения созданного документа: • перечень типовых угроз БИ • рекомендации по реализации мер • рекомендации по проведению оценки соответствия
  • 11. Контактная информация 107023, Москва, ул. Электрозаводская, 24 +7(495) 223-23-92 +7(495) 645-38-11 http://www.npo-echelon.ru ab@cnpo.ru