+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Аудит безопасности процесса разработки программного обеспечения

При разработке программного обеспечения всегда необходимо учитывать реальные и потенциальные угрозы, способные привести к нарушению безопасности программы и повлечь за собой ущерб как финансовый, так и репутационный. Разработчикам ПО следует учитывать требования безопасности при написании кода и разработки документации в соответствии с ГОСТ Р 56939-2016, ГОСТ Р 58412-2019, ГОСТ Р ИСО/МЭК 27001, SEI SW-CMM, TickIT. Соблюдение мер защиты сводится к обеспечению состояния информационной безопасности программы, что способствует востребованности и стоимости конечного продукта.

В организации при разработке ПО необходим аудит, если:

  • отсутствуют квалифицированные и опытные специалисты информационной безопасности;
  • вы хотите обеспечить хорошую защиту своего продукта;
  • заказчик предъявляет требования к безопасности при разработке ПО;
  • у конкурентов ПО является защищенным, у вас нет;
  • зафиксирован хотя бы один инцидент безопасности ПО в организации, использующей Ваше ПО.
Аудит безопасности процесса разработки программного обеспечения

Эксперты по аудиту безопасности процесса разработки программного обеспечения

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Баранов Александр Николаевич

Баранов Александр Николаевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий с 1996 года.
Профессиональный опыт в сфере информационной безопасности с 2004 года.

Профиль >>

Все эксперты
Муравский Юрий Юрьевич

Муравский Юрий Юрьевич

Эксперт компьютерно-технического направления

Опыт: Стаж работы в сфере информационных технологий с 2009 года. Стаж экспертной работы с 2017 года.

Профиль >>

Все эксперты

Описание

Для чего нужен аудит разработки ПО

Целью проведения аудита безопасности ПО, является организация защищенности разрабатываемого программного обеспечения на этапах проектирования, разработки и модернизации. Состояние защищенности ПО на протяжении всего жизненного цикла способствует качеству продукта, его безопасности, а значит ценности и спросу.

Как проходит аудит?

Этапы аудита безопасности процесса разработки ПО

Аудит начинается с анализа внутренней документации по информационной безопасности программного обеспечения организации-разработчика и изучением ресурсов, которые используются для написания кода. Этот этап необходим для первичного ознакомления с состоянием защищенности ПО и определения степени соответствия требованиям при разработке.

Затем проводится комплекс мероприятий, направленных на:

Необходимый комплекс мероприятий для проведения аудита безопасности процесса разработки ПО

  • Выявление потенциальных уязвимостей в исходном коде;
  • Сведение к минимуму или полному устранению таких уязвимостей в коде путем участия в процессе его модернизации;
  • Разработку сопроводительной технической документации по информационной безопасности;
  • Определение рекомендаций в направлении обеспечения состояния защищенности конечного продукта, включающих меры по сопровождению.

В процессе происходит как взаимодействие с заказчиком с целью получения исходных данных для анализа, так и экспертный анализ технологии разработки.

Основные этапы проведения

Аудит начинается с ознакомления с исходным кодом, программным обеспечением. Осуществляется проверка соответствия требованиям законодательства РФ. Затем исследуются возможные уязвимости в исходном коде, например, путем моделирования атаки, используя слабые места программного обеспечения. Такие методы проверки надежности кода лучше применять на стадии проектирования ПО, т.к. на данном этапе формируется ПО и нет конечного продукта.

Следующим этапом будем «запуск» программного обеспечения с целью проверки работоспособности и выявления неустраненных или новых уязвимостей. Проводятся пентесты для анализа и определения подобных недостатков.
При обнаружении уязвимостей, исходной код отправляется на доработку.

В процессе аудита используются:

  • Среды разработки (Visual Studio, NetBeans, IntelliJ IDEA и тд);
  • Средства поиска уязвимостей кода (АИСТ-С, Parasoft Jtest и тд);
  • Компоненты кода, взятые из открытых источников, а также у сторонних разработчиков;
  • Инструменты проведения фаззинг-тестирования, пентестов;
  • Документация на целевое ПО (техническое задание, проектная, эксплуатационная, пользовательская и т.д).

По окончании устранения уязвимостей, формируется техническая документация, потенциальные угрозы, общий уровень соответствия требования законодательства РФ.

Срок выполнения работы зависит от согласованных условий или выполняется на протяжении всего периода разработки.

Результаты аудита

Результаты аудита безопасности процесса разработки ПО

Конечным результатом аудита является устранение имеющихся уязвимостей в программном коде, сведение к минимуму вероятности их реализации путем внедрения системы защиты. Также сопроводительная документация программного обеспечения будет включать примененные организационные и технические меры по информационной безопасности.

В качестве результата выполнения аудита, предоставляются:

  • Задание по безопасности;
  • Технологический регламент разработки;
  • Отчет о проделанной работе, в котором отражено состояние защищенности программного обеспечения с учетом его возможных уязвимостей;
  • Иные документы, предусмотренные договором аудита.
Запрос коммерческого предложения

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать аудит ИБ в рамках любого из бизнес-процессов

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Заказать

 






Видео по аудиту безопасности процесса разработки программного обеспечения

Наши преимущества

Аудиты и экспертизы

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Нами проведено более 300 аудитов

Сотрудники компании провели более 300 аудитов по различным критериям

40+

Вариантов аудитов информационной безопасности в нашем портфеле

Цены на услуги по аудиту безопасности процесса разработки программного обеспечения

Наименование услуги Стоимость

Консультация

бесплатно

Аудит безопасности процесса разработки программного обеспечения

от 200 000 руб.

FAQ: Часто задаваемые вопросы

Здравствуйте. Один из разработчиков программного обеспечения использует код, написанный им в рабочее время, в сторонних целях. Как мы можем его наказать?

Добрый день.
Чтобы рекомендовать меры взыскания к сотруднику необходимо ознакомиться с его должностными инструкциями, внутренней нормативной документацией компании.
Также необходимо отметить, что техническая возможность утечки кода говорит о незащищенном процессе разработки — в этой ситуации рекомендуется провести аудит еще и в этом направлении.

НАМ ДОВЕРЯЮТ