ГОСТ 56939-2024: Подготовка организаций к сертификации процессов безопасной разработки программных продуктов

Государственный стандарт 56939-2024 предъявляет ряд обязательных требований, определяющих алгоритмы и правила безопасной разработки, создания и дальнейшей эксплуатации программных продуктов, выпускаемых организацией.

Мы предлагаем:

  • Комплекс услуг, направленных на подготовку организаций к сертификации процессов безопасной разработки программных продуктов в соответствии с требованиями ГОСТ 56939-2024.
ГОСТ 56939-2024: Подготовка организаций к сертификации процессов безопасной разработки программных продуктов - услуги RTM Group
ГОСТ 56939-2024: Подготовка организаций к сертификации процессов безопасной разработки программных продуктов - от RTM Group
Узнать стоимость?

Эксперты по подготовке к сертификации разработки ПО (ГОСТ 56939-2024)

Эксперт по подготовке к сертификации разработки ПО (ГОСТ 56939-2024) Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты

Зачем проводить подготовку к сертификации процессов безопасной разработки ПО?

Основная цель проведения услуги — обеспечение выполнимости стандартизированного набора требований к процессу безопасной разработки программных продуктов, необходимого для его сертификации в соответствии с порядком, утвержденным 240 приказом ФСТЭК России.

ГОСТ 56939-2024: как проводится подготовка к сертификации?

Этапы проведения:

  1. Предварительный аудит готовности организации к сертификации существующих процессов безопасной разработки программных продуктов, в соответствии с требованиям ГОСТ 56939-2024.
  2. Формирование дорожной карты развития и внедрения процессов безопасной разработки в организации.
  3. Разработка необходимой технической и организационно-распорядительной документации по безопасной разработке программных продуктов.
  4. Внедрение необходимых организационных и технических мер защиты информации, обеспечивающих информационную безопасность в процессе разработки программных продуктов.
  5. Сопровождение организации при оформлении заявки на сертификацию процессов безопасной разработки программных продуктов.

Предварительный аудит

В ходе предварительного аудита готовности организации к сертификации процесса безопасной разработки программных продуктов осуществляется: 

  1. Проверка комплекта существующих документов по созданию безопасных программных продуктов
  2. Проверка имеющихся инструментов, задействованных в процессе разработки IT-продуктов
  3. Проверка наличия инструментов анализа безопасности кода
  4. Оценка соответствия выполняемых процедур по безопасной разработке программного обеспечения с описанием, указанным в документации
  5. Анализ выполнения мер, направленных на поддержание безопасности программных продуктов
  6. Контроль соблюдения требований к обучению специалистов, задействованных в процессах безопасной разработки ПО

Формирование дорожной карты внедрения безопасной разработки в компанию

При разработке дорожной карты развития процессов безопасной разработки программных продуктов учитываются результаты детального анализа текущих процессов в организации.

На основе полученных выходных данных выполняются следующие действия:

  • Определяются области, требующих улучшения
  • Устанавливаются четкие цели и разрабатываются стратегии их достижения
  • Оцениваются трудозатраты и стоимость приобретения необходимых инструментальных средств
  • Составляется детализированный календарный план внедрения новых практик и инструментов безопасности

Документация и меры защиты для обеспечения безопасной разработки ПО

При подготовке документации по безопасной разработке программного обеспечения осуществляется тщательный анализ требований безопасности к процессам разработки IT-продукта.

На данном этапе определяется перечень актуальных угроз и уязвимостей, которые могут повлиять на безопасность программного продукта в процессе его разработки.

Команда разработчиков совместно с нашими экспертами по информационной безопасности проводит оценку рисков и формирует перечень требований, которым должны соответствовать процессы безопасной разработки программных продуктов, разрабатываемых в организации.

На данном этапе определяется структура и содержание будущих документов, а также распределяются роли и обязанности среди участников проекта.

Процесс подготовки технической документации являются ключевым этапом, в рамках которого осуществляется разработка подробных инструкций и руководств, описывающих механизмы реализации мер безопасности при создании программных продуктов в организации.

Одновременно с технической документацией осуществляется подготовка организационно-распорядительной документации, регламентирующей процессы управления информационной безопасностью в ходе разработки программных продуктов в компании.

Такая документация помогает создать единую систему управления безопасностью, которая обеспечивает соблюдение всех необходимых мер на протяжении всего жизненного цикла программных продуктов, разрабатываемых в организации.

Завершающим этапом является согласование разработанной документации по безопасной разработке с Заказчиком.

На этом этапе все созданные документы передаются на рассмотрение Заказчику для получения обратной связи и утверждения.

Этот подход позволяет убедиться, что все аспекты безопасности учтены и согласованы.

Во время внедрения организационных и технических мер защиты информации, обеспечивающих информационную безопасность в процессе разработки программного обеспечения осуществляются следующие действия:

  1. Ввод в действие организационно-распорядительной и технической документации по безопасной разработке программного обеспечения
  2. Создание/изменение защищенной среды разработки (при необходимости)
  3. Установка и настройка средств анализа защищенности и проверки качества кода
  4. Организация системы учета, управления и хранения информации о результатах анализа исходного кода программы, обеспечивающей возможность сопоставления такой информации с версией ПО и разработчиком
  5. Установка и настройка средств тестирования приложений на проникновение
  6. Организация системы учета, управления и хранения информации о результатах тестирования на проникновение в отношении разрабатываемого ПО, обеспечивающей возможность сопоставления такой информации с версией ПО и разработчиком
  7. Организация повышения квалификации сотрудников в вопросах обеспечения ИБ при безопасной разработке ПО
  8. Организация контроля за обеспечением ИБ в процессе разработки ПО
  9. Реализация безопасной поставки в соответствии с лучшими мировыми практиками и промежуточным контролем

Сопровождение при подаче заявки на сертификацию процессов безопасной разработки ПО

В ходе сопровождения организации при оформлении заявки на сертификацию процессов безопасной разработки программных продуктов в организации оказывается помощь в ее заполнении.

Также, специалисты RTM Group своевременно и компетентно реагируют на все замечания, возникающие в процессе сертификации, что существенно сокращает сроки и затраты на выполнение данных работ.

Почему RTM Group?

  • Большой опыт работы в области аудита процессов безопасной разработки программных продуктов и определению их уровня зрелости в соответствии с лучшими мировыми практиками.
  • Широкий опыт внедрения алгоритмов правил, процессов и инструментов безопасной разработки в соответствии с требованиями ГОСТ 56939-2016.
  • Опыт разработки комплектов документации Заявителя по безопасной разработке программных продуктов, а также по требованиям ОУД4.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

 

 

Заказать услуги по подготовке к сертификации разработки ПО (ГОСТ 56939-2024)

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:






Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по подготовке к сертификации разработки ПО (ГОСТ 56939-2024)

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

Продукты и решения для вас

Нам доверяют

FAQ: Часто задаваемые вопросы