ГОСТ Р 56939—2016
5.4.3.2 Разработчик ПО должен обеспечить проведение тестирования на проникновение в отно
шении программы с целью выявления ее уязвимостей. Тесты, выполняемые в рамках тестирования на
проникновение, должны быть разработаны с учетом:
- проекта архитектуры программы, в том числе информациио заимствованныхусторонних разра
ботчиков ПО компонентах:
- результатов моделирования угроз безопасности информации {перечень выявленных потен
циальныхугроз безопасности информации):
- результатов статического анализа исходного кода программы (перечень выявленных потенци
ально уязвимых конструкций в исходном коде программы);
- результатов экспертизы исходного кода программы (перечень выявленных потенциальноуязви
мых конструкций в исходном коде программы).
Порезультатам тестирования на проникновение могут проводитьдоработку программы.
Для организации работ, выполняемых в процессахжизненного цикла ПО. документация разработ
чика ПО должна содержать список выявленных в ходе проведения тестирования на проникновение
уязвимостей ПО (при выявлении).
Для подтверждения соответствия требованиям настоящего стандарта документация разработ
чика ПОдолжна содержать:
- план тестирования, описание выполняемых тестов и инструментальных средств, используемых
для тестирования на проникновение;
- фактические результаты тестирования напроникновение;
- отчеты, содержащие список выявленных уязвимостей программы (при выявлении), описание
действий, направленных на их устранение, или обоснование невозможности или отсутствия необхо
димости в устранении уязвимости программы.
Разработчику ПО следует обеспечить конфиденциальность информации, связанной с выявлен
ными в ходе тестирования на проникновение уязвимостями программы.
П р и м е ч а н и е — Тестирование на проникновение предполагает выявление уязвимостей программы
путем моделирования (имитации)действий потенциального нарушителя. Тестирование на проникновение выполня
ют разработчик ПО или сторонние организации, обладающие компетенцией в области проведения такого рода
испытаний, для актуальной версии программы. Выполнение тестирования на проникновение непосредственно
разработчиками или специалистами по функциональному тестированию программы нежелательно.
5.4.3.3 Разработчик ПОдолжен обеспечить проведение динамического анализа кода программы
с целью выявления уязвимостей программы. Тесты, выполняемые в рамках динамического анализа
кода программы, должны быть разработаны сучетом:
- проекта архитектуры программы, в том числе информации о заимствованных у сторонних
разработчиков ПО компонентах;
- результатов моделирования угроз безопасности информации (перечень выявленных потен
циальныхугроз безопасности информации);
- результатов статического анализа исходного кода программы (перечень выявленных потенци
ально уязвимых конструкций в исходном коде программы);
- результатов экспертизы исходного кода программы (перечень выявленных потенциально уязви
мых конструкций в исходном коде программы).
Порезультатам динамического анализа кода программы можно проводитьдоработку программы.
Для организации работ, выполняемых в процессах жизненного цикла ПО. документация разра
ботчика ПО должна содержать список выявленных в ходе проведения динамического анализа кода
программы уязвимостей программы (при выявлении).
Для подтверждения соответствия требованиям настоящего стандарта документация разработ
чика ПОдолжна содержать:
- сведения о периодичности проведениядинамического анализа кода программы;
- план тестирования, описание выполняемых тестов и инструментальных средств, используемых
длядинамического анализа кода программы:
- отчеты, содержащие список выявленных уязвимостей программы (при выявлении), описание
действий, направленных на их устранение, либо обоснование невозможности или отсутствия необхо
димости в устранении выявленной уязвимости программы.
Разработчику ПО следует обеспечить конфиденциальность информации, связанной с выявлен
ными в ходединамического анализа кода программы уязвимостями программы.
и