ГОСТ Р 56939—2016
Для организации работ, выполняемых в процессах жизненного цикла ПО. и подтверждения соот
ветствия требованиям настоящего стандарта документация разработчика ПО должна содержать опи
сание методов приема иобработки сообщений от пользователей в ситуациях, когда неизвестная ранее
уязвимость программы используется для проведения компьютерной или сетевой атаки на информа
ционную систему пользователя.
5.6.3.3 В экстренных ситуациях разработчик ПОдолжен бытьспособен к выпуску обновлений ПО
в обход стандартной процедуры выпуска новых версий ПО. Если экстренный выпуск обновлений ПО
невозможен, разработчик ПО должен предложить альтернативные способы временного решения
проблемы, включая использование пользователемдополнительных средств защиты.
Для организации работ, выполняемых в процессах жизненного цикла ПО. и подтверждения соот
ветствия требованиям настоящего стандарта документация разработчика ПО должна содержать:
- перечень экстренных ситуаций, при которых возможен выпуск обновлений ПО в обход стан
дартной процедуры выпуска новых версий ПО;
- описание альтернативных (если экстренный выпуск обновлений ПО невозможен) способов
временного решения проблемы, связаннойс экстренной ситуацией.
5.6.3.4 РазработчикПО должен проводитьсистематический поиск уязвимостейпрограммы. Поиск
уязвимостей программы следует проводитьс использованием:
- моделирования угроз безопасности информации;
- статического анализа кода программы;
- экспертизы исходного кода программы;
- функционального тестирования программы,
- тестирования на проникновение:
- динамического анализа кода программы;
- фаззинг-тестирования программы.
Разработчику ПО следует проводить поиск в общедоступных источниках информации с целью
выявления уязвимостей программы и уязвимостей компонентов программы, заимствованныху сторон
них разработчиков ПО. По результатам поиска уязвимостей программы можно проводить доработку
программы. Разработчик ПО должен обеспечить доведение до пользователей информации об уязви
мостях программы и рекомендаций по ихустранению, в том числе путем обновления ПО.
Дляорганизации работ, выполняемых в процессах жизненного цикла ПО. документация разработ
чика ПО должна содержать список выявленных в ходе проведения поиска уязвимостей программы
(при выявлении).
Для подтверждения соответствия требованиям настоящего стандарта документация разработ
чика ПО должна содержать;
- сведения о периодичности проведения поиска уязвимостей программы;
- план поиска уязвимостей, описание выполняемых тестов, инструментальных средств и обще
доступных источников информации, используемых при проведении поискауязвимостей программы;
- отчеты, содержащие список выявленных уязвимостей программы (при выявлении), описание
действий, направленных на их устранение, либо обоснование невозможности или отсутствия необхо
димости в устранении выявленной уязвимости программы;
- описание методовдоведения до пользователей информации об уязвимостях программы иреко
мендаций по ихустранению, в том числе путем обновления ПО.
Разработчику ПО следует обеспечить конфиденциальность информации, связанной с выявлен
ными уязвимостями программы.
П р и м е ч а н и е — Поиск информации, связанной с уязвимостями программы, в общедоступных источни
ках следует проводить в том числе с использованием банка данных угроз безопасности информации Федеральной
службы по техническому и экспортному контролю (ФСТЭК России).
5.6.3.5 При выполнении модернизации ПО (выпуска обновления ПО) в отношении измененного
ПОдолжны выполняться меры по разработке безопасного ПО. приведенные в разделе 5.
Для подтверждения соответствия требованиям настоящего стандартадокументация разработчи
ка ПО должна содержать подтверждение использованияопределенных мер по разработкебезопасного
ПО в отношении измененного ПО.
П р и м е ч а н и е — Для сокращения временных и материальных затрат, связанных с применением мер по
разработке в отношении измененного ПО. указанные меры можно применять только а части внесенных в ПО изме
нений.
14