Аудит безопасности процесса разработки программного обеспечения

Внедрение технологии безопасной разработки позволяет сократить количество ошибок и уязвимостей до нуля. Аудит данной системы позволяет оценить эффективность ее использования и подтвердить безопасность и качество программного продукта без привязки к конкретному релизу.

Мы предлагаем:

  • Аудит организации процесса;
  • Аудит компетенции сотрудников;
  • Проверку безопасности всего жизненного цикла от проекта до снятия с поддержки;
  • Выборочное независимое тестирование продукта.

Почему мы:

  • Работа под лицензиями ФСТЭК и ФСБ;
  • Более 20 успешных проектов по безопасности программного обеспечения.
Аудит безопасности процесса разработки программного обеспечения - услуги RTM Group
Аудит безопасности процесса разработки программного обеспечения - от RTM Group
Узнать стоимость?

Эксперты по аудиту безопасности процесса разработки программного обеспечения

Эксперт по аудиту безопасности процесса разработки программного обеспечения Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по аудиту безопасности процесса разработки программного обеспечения Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту безопасности процесса разработки программного обеспечения Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по аудиту безопасности процесса разработки программного обеспечения Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

При разработке программного обеспечения всегда необходимо учитывать реальные и потенциальные угрозы, способные привести к нарушению безопасности программы и повлечь за собой ущерб как финансовый, так и репутационный.

Разработчикам ПО следует учитывать требования безопасности при написании кода и разработки документации в соответствии с ГОСТ Р 56939-2016, ГОСТ Р 58412-2019, ГОСТ Р ИСО/МЭК 27001, SEI SW-CMM, TickIT. Соблюдение мер защиты сводится к обеспечению состояния информационной безопасности программы, что способствует востребованности и стоимости конечного продукта.

В организации при разработке ПО необходим аудит, если:

  • Отсутствуют квалифицированные и опытные специалисты информационной безопасности;
  • Вы хотите обеспечить хорошую защиту своего продукта;
  • Заказчик предъявляет требования к безопасности при разработке ПО;
  • У конкурентов ПО является защищенным, у вас нет;
  • Зафиксирован хотя бы один инцидент безопасности ПО в организации, использующей Ваше ПО.

Для чего нужен аудит разработки ПО

Целью проведения аудита безопасности ПО является организация защищенности разрабатываемого программного обеспечения на этапах проектирования, разработки и модернизации. Состояние защищенности ПО на протяжении всего жизненного цикла способствует качеству продукта, его безопасности, а значит ценности и спросу.

Как проходит аудит?

Этапы аудита безопасности процесса разработки ПО

Аудит безопасности ПО начинается с анализа внутренней документации по ИБ программного обеспечения организации-разработчика и изучением ресурсов, которые используются для написания кода. Данный этап необходим для первичного ознакомления с состоянием защищенности ПО и определения степени соответствия требованиям при разработке.

Затем проводится комплекс мероприятий, направленных на:

Необходимый комплекс мероприятий для проведения аудита безопасности процесса разработки ПО

  • Выявление потенциальных уязвимостей в исходном коде;
  • Сведение к минимуму или полному устранению таких уязвимостей в коде путем участия в процессе его модернизации;
  • Разработку сопроводительной технической документации по информационной безопасности;
  • Определение рекомендаций в направлении обеспечения состояния защищенности конечного продукта, включающих меры по сопровождению.

В процессе исследования происходит как взаимодействие с заказчиком с целью получения исходных данных для анализа, так и экспертный анализ технологии разработки.

Основные этапы проведения

Аудит начинается с ознакомления с исходным кодом программного обеспечения. Осуществляется проверка соответствия кода требованиям законодательства РФ. Затем исследуются возможные уязвимости в исходном коде, например, путем моделирования атаки, используя слабые места программного обеспечения. Такие методы проверки надежности кода лучше применять на стадии проектирования, т.к. на данном этапе формируется ПО и конечного продукта еще нет.

Следующим этапом является «запуск» программного обеспечения с целью проверки работоспособности и выявления не устраненных или новых уязвимостей. Проводятся пентесты для анализа и определения подобных недостатков. При обнаружении уязвимостей исходный код отправляется на доработку.

В процессе аудита используются:

  • Среды разработки (Visual Studio, NetBeans, IntelliJ IDEA и тд);
  • Средства поиска уязвимостей кода (АИСТ-С, Parasoft Jtest и тд);
  • Компоненты кода, взятые из открытых источников, а также у сторонних разработчиков;
  • Инструменты проведения фаззинг-тестирования, пентестов;
  • Документация на целевое ПО (техническое задание, проектная, эксплуатационная, пользовательская и т.д).

По окончании устранения уязвимостей, формируется техническая документация, потенциальные угрозы, общий уровень соответствия требования законодательства РФ.

Срок выполнения работы зависит от согласованных условий или выполняется на протяжении всего периода разработки.

Результаты аудита

Результаты аудита безопасности процесса разработки ПО

Конечным результатом аудита является устранение имеющихся уязвимостей в программном коде, сведение к минимуму вероятности их реализации путем внедрения системы защиты. Также сопроводительная документация программного обеспечения будет включать примененные организационные и технические меры по информационной безопасности.

В качестве результата выполнения аудита предоставляются:

  • Задание по безопасности;
  • Технологический регламент разработки;
  • Отчет о проделанной работе, в котором отражено состояние защищенности программного обеспечения с учетом его возможных уязвимостей;
  • Иные документы, предусмотренные договором аудита.

    Нужна консультация?

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 821-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по аудиту безопасности процесса разработки программного обеспечения

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:






    Видео по аудиту безопасности процесса разработки программного обеспечения

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту безопасности процесса разработки программного обеспечения

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Аудит безопасности процесса разработки программного обеспечения

    от 200 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    Нами проведено более 800 аудитов

    Сотрудники компании провели более 700 аудитов по различным критериям

    60+

    Вариантов аудитов информационной безопасности в нашем портфеле

    Продукты и решения для вас

    Нам доверяют

    FAQ: Часто задаваемые вопросы

    Здравствуйте. Один из разработчиков программного обеспечения использует код, написанный им в рабочее время, в сторонних целях. Как мы можем его наказать?

    Добрый день.
    Чтобы рекомендовать меры взыскания к сотруднику необходимо ознакомиться с его должностными инструкциями, внутренней нормативной документацией компании.
    Также необходимо отметить, что техническая возможность утечки кода говорит о незащищенном процессе разработки – в этой ситуации рекомендуется провести аудит еще и в этом направлении.