Аудит безопасности процесса разработки программного обеспечения

При разработке программного обеспечения всегда необходимо учитывать реальные и потенциальные угрозы, способные привести к нарушению безопасности программы и повлечь за собой ущерб как финансовый, так и репутационный.

Разработчикам ПО следует учитывать требования безопасности при написании кода и разработки документации в соответствии с ГОСТ Р 56939-2016, ГОСТ Р 58412-2019, ГОСТ Р ИСО/МЭК 27001, SEI SW-CMM, TickIT. Соблюдение мер защиты сводится к обеспечению состояния информационной безопасности программы, что способствует востребованности и стоимости конечного продукта.

В организации при разработке ПО необходим аудит, если:

• Отсутствуют квалифицированные и опытные специалисты информационной безопасности;
• Вы хотите обеспечить хорошую защиту своего продукта;
• Заказчик предъявляет требования к безопасности при разработке ПО;
• У конкурентов ПО является защищенным, у вас нет;
• Зафиксирован хотя бы один инцидент безопасности ПО в организации, использующей Ваше ПО.

Для чего нужен аудит разработки ПО

Целью проведения аудита безопасности ПО является организация защищенности разрабатываемого программного обеспечения на этапах проектирования, разработки и модернизации. Состояние защищенности ПО на протяжении всего жизненного цикла способствует качеству продукта, его безопасности, а значит ценности и спросу.

Как проходит аудит?

Аудит безопасности ПО начинается с анализа внутренней документации по ИБ программного обеспечения организации-разработчика и изучением ресурсов, которые используются для написания кода. Данный этап необходим для первичного ознакомления с состоянием защищенности ПО и определения степени соответствия требованиям при разработке.

Затем проводится комплекс мероприятий, направленных на:

• Выявление потенциальных уязвимостей в исходном коде;
• Сведение к минимуму или полному устранению таких уязвимостей в коде путем участия в процессе его модернизации;
• Разработку сопроводительной технической документации по информационной безопасности;
• Определение рекомендаций в направлении обеспечения состояния защищенности конечного продукта, включающих меры по сопровождению.

В процессе исследования происходит как взаимодействие с заказчиком с целью получения исходных данных для анализа, так и экспертный анализ технологии разработки.

Основные этапы проведения

Аудит начинается с ознакомления с исходным кодом программного обеспечения. Осуществляется проверка соответствия кода требованиям законодательства РФ. Затем исследуются возможные уязвимости в исходном коде, например, путем моделирования атаки, используя слабые места программного обеспечения. Такие методы проверки надежности кода лучше применять на стадии проектирования, т.к. на данном этапе формируется ПО и конечного продукта еще нет.

Следующим этапом является «запуск» программного обеспечения с целью проверки работоспособности и выявления не устраненных или новых уязвимостей. Проводятся пентесты для анализа и определения подобных недостатков. При обнаружении уязвимостей исходный код отправляется на доработку.

В процессе аудита используются:

• Среды разработки (Visual Studio, NetBeans, IntelliJ IDEA и тд);
• Средства поиска уязвимостей кода (АИСТ-С, Parasoft Jtest и тд);
• Компоненты кода, взятые из открытых источников, а также у сторонних разработчиков;
• Инструменты проведения фаззинг-тестирования, пентестов;
• Документация на целевое ПО (техническое задание, проектная, эксплуатационная, пользовательская и т.д).

По окончании устранения уязвимостей, формируется техническая документация, потенциальные угрозы, общий уровень соответствия требования законодательства РФ.

Срок выполнения работы зависит от согласованных условий или выполняется на протяжении всего периода разработки.

Результаты аудита

Конечным результатом аудита является устранение имеющихся уязвимостей в программном коде, сведение к минимуму вероятности их реализации путем внедрения системы защиты. Также сопроводительная документация программного обеспечения будет включать примененные организационные и технические меры по информационной безопасности.

В качестве результата выполнения аудита предоставляются:

• Задание по безопасности;
• Технологический регламент разработки;
• Отчет о проделанной работе, в котором отражено состояние защищенности программного обеспечения с учетом его возможных уязвимостей;
• Иные документы, предусмотренные договором аудита.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты