Привет, коллеги!
А кто-то знает, “ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения” относится к требованиям по КИИ как-то?
Например, может быть начиная с категории 2 всё ПО должно проходить аудит на соответствие этому ГОСТу, или что-то типа того.
Доброго времени суток.
Активно форсил эту тему на прошлом месте работы. ГОСТ 56939-2016 завязан на СМИБ 27ХХХ (ISO 27034-1-2-3-4-5) и на ГОСТы РВ, если организация могёт в оборонку. Стандарт работает в пачке ещё с ГОСТом Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения + есть ещё проект "ГОСТа руководство по разработке безопасного ПО" на сайте ФСТЭКа.
Для гражданского применения:
1. 17-й приказ ФСТЭК (ГИС) АНЗ.1:
Выявление, анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации информационной системы.
2. 21-й приказ ФСТЭК (ИСПДн):
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
3. 239-й приказ ФСТЭК (КИИ):
В случае если в ходе проектирования подсистемы безопасности значимого объекта предусмотрена разработка программного обеспечения, в том числе программного обеспечения средств защиты информации, такая разработка проводится в соответствии со стандартами безопасной разработки программного обеспечения.
4. Сертификация ПО по требованиям безопасности информации.
Требования по безопасности информации, утвержденные приказом ФСТЭК России от 30 июля 2018 г. N 131
Переплетается с 15408-1-2-3, методикой анализа уязвимостей ФСТЭК, и т.д.
