«Код безопасности» привел процесс разработки продуктов в соответствие стандарту ГОСТ Р 56939-2016

Софт Безопасность Стратегия безопасности
мобильная версия
, Текст: Татьяна Короткова

Компания «Код безопасности» объявила о внедрении процесса разработки программного обеспечения (SDL — Security Development Lifecycle) в соответствии с национальным стандартом ГОСТ Р 56939-2016. Принятая в компании политика формирует базовые принципы организации процессов, направленных на выпуск средств защиты информации, сообщили CNews в «Коде безопасности».

Летом 2016 г. Федеральным агентством по техническому регулированию и метрологии (Росстандартом России) был утвержден национальный стандарт ГОСТ Р 56939–2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Документ вступит в силу с 1 июля 2017 г., он регламентирует содержание и порядок выполнения работ по созданию программного обеспечения и формированию среды для оперативного устранения выявленных пользователями ошибок и уязвимостей.

«“Код безопасности” считает соответствие процесса разработки требованиям ГОСТ важным фактором для сохранения позиций и конкурентоспособности на рынке информационной безопасности. Поэтому за год до вступления в силу нового стандарта в компании сформулирована политика, определяющая базовые принципы создания ПО, и приведены в соответствие все процессы разработки», — рассказал Дмитрий Зрячих, технический директор компании «Код безопасности».

В соответствии с принятым документом, долгосрочные цели «Кода безопасности» формируются в рамках непрерывной оптимизации системы менеджмента качества (по ГОСТ ISO 9001–2011) и теперь ориентированы на требования ГОСТ Р 56939–2016. В частности, в рамках жизненного цикла каждого продукта проводятся процедуры, направленные на предотвращение появления уязвимостей и их своевременное устранение, внедряются методики, основанные на требованиях ГОСТ Р 56939–2016, осуществляется непрерывный аудит процессов разработки и их оптимизация, рассказали в компании.

Принятая политика является основополагающей для создания внутренних документов компании, регламентирующих процесс разработки ПО, а также для принятия управленческих решений по развитию продуктов.

По информации компании, повысить надежность разрабатываемых продуктов, а также активизировать взаимодействие с исследователями в области защиты информации призвана еще одна анонсированная ранее программа «Кода безопасности» — «Политика ответственного разглашения». Она устанавливает порядок действий и регламентирует размер вознаграждения при обнаружении исследователем уязвимости в любом продукте «Кода безопасности».