Аудит безопасности процесса разработки программного обеспечения

Для чего нужен аудит разработки ПО

Целью проведения аудита безопасности ПО, является организация защищенности разрабатываемого программного обеспечения на этапах проектирования, разработки и модернизации. Состояние защищенности ПО на протяжении всего жизненного цикла способствует качеству продукта, его безопасности, а значит ценности и спросу.

Как проходит аудит?

Аудит начинается с анализа внутренней документации по информационной безопасности программного обеспечения организации-разработчика и изучением ресурсов, которые используются для написания кода. Этот этап необходим для первичного ознакомления с состоянием защищенности ПО и определения степени соответствия требованиям при разработке.

Затем проводится комплекс мероприятий, направленных на:

• Выявление потенциальных уязвимостей в исходном коде;
• Сведение к минимуму или полному устранению таких уязвимостей в коде путем участия в процессе его модернизации;
• Разработку сопроводительной технической документации по информационной безопасности;
• Определение рекомендаций в направлении обеспечения состояния защищенности конечного продукта, включающих меры по сопровождению.

В процессе происходит как взаимодействие с заказчиком с целью получения исходных данных для анализа, так и экспертный анализ технологии разработки.

Основные этапы проведения

Аудит начинается с ознакомления с исходным кодом, программным обеспечением. Осуществляется проверка соответствия требованиям законодательства РФ. Затем исследуются возможные уязвимости в исходном коде, например, путем моделирования атаки, используя слабые места программного обеспечения. Такие методы проверки надежности кода лучше применять на стадии проектирования ПО, т.к. на данном этапе формируется ПО и нет конечного продукта.

Следующим этапом будем «запуск» программного обеспечения с целью проверки работоспособности и выявления неустраненных или новых уязвимостей. Проводятся пентесты для анализа и определения подобных недостатков.
При обнаружении уязвимостей, исходной код отправляется на доработку.

В процессе аудита используются:

• Среды разработки (Visual Studio, NetBeans, IntelliJ IDEA и тд);
• Средства поиска уязвимостей кода (АИСТ-С, Parasoft Jtest и тд);
• Компоненты кода, взятые из открытых источников, а также у сторонних разработчиков;
• Инструменты проведения фаззинг-тестирования, пентестов;
• Документация на целевое ПО (техническое задание, проектная, эксплуатационная, пользовательская и т.д).

По окончании устранения уязвимостей, формируется техническая документация, потенциальные угрозы, общий уровень соответствия требования законодательства РФ.

Срок выполнения работы зависит от согласованных условий или выполняется на протяжении всего периода разработки.

Результаты аудита

Конечным результатом аудита является устранение имеющихся уязвимостей в программном коде, сведение к минимуму вероятности их реализации путем внедрения системы защиты. Также сопроводительная документация программного обеспечения будет включать примененные организационные и технические меры по информационной безопасности.

В качестве результата выполнения аудита, предоставляются:

• Задание по безопасности;
• Технологический регламент разработки;
• Отчет о проделанной работе, в котором отражено состояние защищенности программного обеспечения с учетом его возможных уязвимостей;
• Иные документы, предусмотренные договором аудита.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты