ГОСТ Р 56939—2016
5.4.3.4Разработчик ПО должен обеспечить проведение фаззинг-тестирования программы с
целью выявления уязвимостей программы. Тесты, выполняемые в рамках фаззинг-тестирования
программы, должны бытьразработаны с учетом:
- проекта архитектуры программы, в том числе информации о заимствованных у сторонних
разработчиков ПО компонентах;
- результатов моделирования угроз безопасности информации (перечень выявленных потенци
альныхугроз безопасности информации);
- результатов статического анализа исходного кода программы (перечень выявленных потенци
ально уязвимых конструкций в исходном коде программы);
- результатов экспертизы исходного кода программы (перечень выявленных потенциальноуязви
мых конструкций в исходном коде программы).
По результатам фаззинг-тестирования программы могут проводитьдоработку программы.
Дляорганизации работ, выполняемых в процессах жизненного цикла ПО, документация разработ
чика ПО должна содержать список выявленных в ходе проведения фаззинг-тестирования программы
уязвимостей программы (при выявлении).
Для подтверждения соответствия требованиям настоящего стандарта документация разработ
чика ПО должна содержать:
- сведения о периодичности проведения фаззинг-тестирования программы;
- план тестирования, описание выполняемых тестов и инструментальных средств, используемых
для фаззинг-тестирования программы;
- отчеты, содержащие список выявленных уязвимостей программы (при выявлении), описание
действий, направленных на их устранение, либо обоснование невозможности или отсутствия необхо
димости в устранении выявленной уязвимости программы.
Разработчику ПО следует обеспечить конфиденциальность информации, связанной с выявлен
ными в ходе фаззинг-тестирования программы уязвимостями программы.
5.5 Моры по разработке безопасного программного обеспечения, реализуемые при
выполнении инсталляции программы и поддержки приемки программного обеспечения
5.5.1 Меры по разработке безопасного программного обеспечения, подлежащие реали
зации
При выполненииинсталляциипрограммы и поддержкиприемки ПО разработчикПО долженреали
зоватьследующие меры:
- обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением
целостности, в процессе егопередачи пользователю;
- поставка пользователю эксплуатационныхдокументов.
5.5.2 Цели и результаты реализации мер по разработке безопасного программного обес
печения
Реализация мер способствуетдостижению следующих целей:
-обеспечение соответствия экземпляра ПО. переданного разработчиком, и экземпляра ПО,
полученного пользователем:
- обеспечение пользователя эксплуатационными документами в объеме, достаточном для
правильной настройки и безопасного применения программы.
В результате успешной реализации мер:
- ПО поставляется пользователю, при этомпользователем можетбытьобнаруженолюбое расхож
дение междуоригиналом ПО и полученной версией;
- пользователю поставляются эксплуатационные документы в объеме, достаточном для пра
вильной настройки ибезопасного применения программы.
5.5.3 Требования к реализации мер по разработке безопасного программного обеспечения
5.5.3.1 Разработчик ПО должен применять технические и организационные меры, необходимые
для обнаружения модификации ПО или любого расхождения междуоригиналом иверсией, полученной
пользователем.
Для организации работ, выполняемых в процессах жизненного цикла ПО. и подтверждения соот
ветствия требованиям настоящегостандартадокументация разработчика ПО должна содержатьописа
ние применяемых технических и организационных мер. используемых для обнаружения модификации
ПО или любого расхождения междуоригиналом иверсией, полученной пользователем.
П р и м е ч а н и е — Для реализации данной меры могут быть использованы, например, средства контроль
ного суммирования поставляемого дистрибутива программы, пломбирование упаковки с поставляемым дистрибу-
12