8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Аудит безопасности процесса разработки программного обеспечения

При разработке программного обеспечения всегда необходимо учитывать реальные и потенциальные угрозы, способные привести к нарушению безопасности программы и повлечь за собой ущерб как финансовый, так и репутационный. Разработчикам ПО следует учитывать требования безопасности при написании кода и разработки документации в соответствии с ГОСТ Р 56939-2016, ГОСТ Р 58412-2019, ГОСТ Р ИСО/МЭК 27001, SEI SW-CMM, TickIT. Соблюдение мер защиты сводится к обеспечению состояния информационной безопасности программы, что способствует востребованности и стоимости конечного продукта.

В организации при разработке ПО необходим аудит, если:

  • отсутствуют квалифицированные и опытные специалисты информационной безопасности;
  • вы хотите обеспечить хорошую защиту своего продукта;
  • заказчик предъявляет требования к безопасности при разработке ПО;
  • у конкурентов ПО является защищенным, у вас нет;
  • зафиксирован хотя бы один инцидент безопасности ПО в организации, использующей Ваше ПО.
Аудит безопасности процесса разработки программного обеспечения
Нужна консультация?

Эксперты по аудиту безопасности процесса разработки программного обеспечения

Эксперт по аудиту безопасности процесса разработки программного обеспечения Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по аудиту безопасности процесса разработки программного обеспечения Царев Евгений Олегович

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту безопасности процесса разработки программного обеспечения Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по аудиту безопасности процесса разработки программного обеспечения Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Для чего нужен аудит разработки ПО

Целью проведения аудита безопасности ПО, является организация защищенности разрабатываемого программного обеспечения на этапах проектирования, разработки и модернизации. Состояние защищенности ПО на протяжении всего жизненного цикла способствует качеству продукта, его безопасности, а значит ценности и спросу.

Как проходит аудит?

Этапы аудита безопасности процесса разработки ПО

Аудит начинается с анализа внутренней документации по информационной безопасности программного обеспечения организации-разработчика и изучением ресурсов, которые используются для написания кода. Этот этап необходим для первичного ознакомления с состоянием защищенности ПО и определения степени соответствия требованиям при разработке.

Затем проводится комплекс мероприятий, направленных на:

Необходимый комплекс мероприятий для проведения аудита безопасности процесса разработки ПО

  • Выявление потенциальных уязвимостей в исходном коде;
  • Сведение к минимуму или полному устранению таких уязвимостей в коде путем участия в процессе его модернизации;
  • Разработку сопроводительной технической документации по информационной безопасности;
  • Определение рекомендаций в направлении обеспечения состояния защищенности конечного продукта, включающих меры по сопровождению.

В процессе происходит как взаимодействие с заказчиком с целью получения исходных данных для анализа, так и экспертный анализ технологии разработки.

Основные этапы проведения

Аудит начинается с ознакомления с исходным кодом, программным обеспечением. Осуществляется проверка соответствия требованиям законодательства РФ. Затем исследуются возможные уязвимости в исходном коде, например, путем моделирования атаки, используя слабые места программного обеспечения. Такие методы проверки надежности кода лучше применять на стадии проектирования ПО, т.к. на данном этапе формируется ПО и нет конечного продукта.

Следующим этапом будем «запуск» программного обеспечения с целью проверки работоспособности и выявления неустраненных или новых уязвимостей. Проводятся пентесты для анализа и определения подобных недостатков.
При обнаружении уязвимостей, исходной код отправляется на доработку.

В процессе аудита используются:

  • Среды разработки (Visual Studio, NetBeans, IntelliJ IDEA и тд);
  • Средства поиска уязвимостей кода (АИСТ-С, Parasoft Jtest и тд);
  • Компоненты кода, взятые из открытых источников, а также у сторонних разработчиков;
  • Инструменты проведения фаззинг-тестирования, пентестов;
  • Документация на целевое ПО (техническое задание, проектная, эксплуатационная, пользовательская и т.д).

По окончании устранения уязвимостей, формируется техническая документация, потенциальные угрозы, общий уровень соответствия требования законодательства РФ.

Срок выполнения работы зависит от согласованных условий или выполняется на протяжении всего периода разработки.

Результаты аудита

Результаты аудита безопасности процесса разработки ПО

Конечным результатом аудита является устранение имеющихся уязвимостей в программном коде, сведение к минимуму вероятности их реализации путем внедрения системы защиты. Также сопроводительная документация программного обеспечения будет включать примененные организационные и технические меры по информационной безопасности.

В качестве результата выполнения аудита, предоставляются:

  • Задание по безопасности;
  • Технологический регламент разработки;
  • Отчет о проделанной работе, в котором отражено состояние защищенности программного обеспечения с учетом его возможных уязвимостей;
  • Иные документы, предусмотренные договором аудита.

    Нужна консультация?

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать аудит безопасности процесса разработки ПО

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: +7 (495) 309-31-25
    Время работы: пн-пт 10:00 — 17:00 (мск)
    email: info@rtmtech.ru

      Заказать

       






      Видео по аудиту безопасности процесса разработки программного обеспечения

      Почему RTM Group

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      В составе ТК №122

      Партнер «Академии Информационных Систем»

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Цены на услуги по аудиту безопасности процесса разработки программного обеспечения

      Наименование услуги Стоимость

      Консультация

      бесплатно

      Аудит безопасности процесса разработки программного обеспечения

      от 200 000 руб.

      Наши преимущества

      Аудиты и экспертизы

      Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

      Нами проведено более 400 аудитов

      Сотрудники компании провели более 400 аудитов по различным критериям

      40+

      Вариантов аудитов информационной безопасности в нашем портфеле

      FAQ: Часто задаваемые вопросы

      Здравствуйте. Один из разработчиков программного обеспечения использует код, написанный им в рабочее время, в сторонних целях. Как мы можем его наказать?

      Добрый день.
      Чтобы рекомендовать меры взыскания к сотруднику необходимо ознакомиться с его должностными инструкциями, внутренней нормативной документацией компании.
      Также необходимо отметить, что техническая возможность утечки кода говорит о незащищенном процессе разработки — в этой ситуации рекомендуется провести аудит еще и в этом направлении.

      НАМ ДОВЕРЯЮТ