Связаться с нами
Связаться с нами
Надежный партнер в создании DevSecOps и безопасного искусственного интеллекта
Связаться с нами

Аудит процесса РБПО по ГОСТ Р 56939-2024

Поможем вашей компании подготовиться к сертификации ФСТЭК или выстроить процесс разработки безопасного ПО в соответствии с ГОСТ Р 56939−2024
Скачать описание
ГОСТ Р 56939−2024 — это национальный стандарт, который устанавливает требования к разработке безопасного ПО и устранению его недостатков, включая уязвимости
Сертификация процесса РБПО желательна для компаний-разработчиков средств защиты информации, которые регулярно выпускают обновления приложений и стремятся соответствовать требованиям ГОСТ Р 56939−2024. Она позволит упростить и ускорить выпуск новых версий сертифицированного ПО, снизить затраты и повысить уровень доверия заказчиков и клиентов.

Мы предлагаем вам всесторонний аудит текущих процессов разработки безопасного ПО по ГОСТ Р 56939−2024, помощь в подготовке к сертификации ФСТЭК и выстраивании РБПО в соответствии с требованиями стандарта.

Что мы предлагаем

Аудит процесса РБПО вашего продукта на соответствие требованиям ГОСТ Р 56939−2024
Проверка соответствия ПО более 100 требованиям и 25 мерам, которые необходимо выполнить
для успешной сертификации
Разработка организационно-распорядительной документации в соответствие ГОСТ 56939-2024
Предоставление отчета с подробными рекомендациями по устранению недостатков и успешному прохождению сертификации
Сопровождение при прохождении мероприятий, связанных с сертификацией процесса РБПО
Консультация по внедрению отсутствующих практик РБПО

Для кого

Вы — разработчик средства защиты информации
  • Уже получили сертификат на версию ПО от ФСТЭК

  • Планируете сертифицировать процесс разработки данного продукта

  • Хотите ускорить процесс выпуска новых сертифицированных версий ПО
Вы — разработчик ПО для субъектов КИИ и иных крупных (государственных) организаций
  • На вас распространяются требования головной организации в части соответствия ГОСТ 56939–2024

  • На вас распространяются требования конечных заказчиков ПО в части соответствия ГОСТ 56939–2024
Экспресс-аудит процессов РБПО

Экспресс-аудит
процессов РБПО
Получите предварительную оценку зрелости
процессов безопасной разработки ПО.
Планирование и проектирование
Выберите утверждения, которые верны для подхода вашей компании к планированию процесса разработки ПО.
Утверждено Руководство безопасной разработки
Разработан план развития процессов безопасной разработки
Проводится обучение сотрудников, участвующих в процессе разработки ПО, согласно плану
Предъявляются требования безопасности к ПО, ведется учет и пересмотр данных требований ответственным лицом
Внедрены процессы управления недостатками и запросами на изменение, а также запросами на изменение конфигураций ПО
Определены требования к принципам проектирования архитектуры ПО
Разработана модель угроз на ПО
Разработка/инфраструктура сред
Укажите, внедрены ли у вас процедуры анализа исходного кода и какие требования установлены к его хранению.
К исходному коду предъявляются требования в части оформления и безопасности
Внедрен процесс экспертизы исходного кода (code review)
Применяются автоматизированные проверки исходного кода (линтеры)
Проводится статический анализ исходного кода ПО
Проводится композиционный анализ (библиотеки, образы)
Предъявляются требования к использованию секретов
Внедрен процесс обеспечения безопасности сборочной среды
Проводится проверка поставлаемого ПО (исходного кода, модулей, компонентов) на предмет наличия вредоносного ПО
Тестирование
Укажите, какие требования установлены в компании к проведению тестирования программного обеспечения.
Проводится функциональное тестирование и оформление отчетов по итогам его проведения
Проводится нефункциональное тестирование (пентест, нагрузочное тестирование, и т.д.) и оформление отчетов
Проводится динамический анализ кода ПО
Проводится фаззинг-тестирование
Внедрен процесс приемки ПО (роли сотрудников, при приемке ПО, типовые сценарии приемки ПО)
Эксплуатация и сопровождение
Укажите наличие процедур эксплуатации и сопровождения программного обеспечения.
Проводится анализ влияния на безопасность ПО неустраненнных ошибок
Реализован процесс обеспечения целостности ПО, передаваемого пользователям, обеспечена возможность контроля целостности ПО пользователями
Реализован процесс безопасной поставки ПО пользователям (фиксация версии поставляемого ПО, резервирование версии поставляемого ПО)
Осуществляется техническая поддержка выпущенного в релиз ПО
Внедрен порядок реагирования на обнаруженные в ПО уязвимостях при эксплуатации ПО (Реагирование на инциденты)
Внедрен процесс поиска уязвимостей в ПО при эксплуатации ПО
Внедрен процесс вывода версии ПО из эксплуатации
0
Ваши процессы РБПО на высоком уровне
Основной набор процедур и требований к безопасной разработке уже внедрен. Хотите узнать как еще повысить безопасность вашего ПО? Узнайте у наших экспертов с чего начать-получите детальный чек-лист для аудита.
Есть над чем работать
Базовые процессы РБПО присутствуют, но требуют доработки. Хотите усилить слабые места для повышения зрелости? Узнайте у наших экспертов с чего начать-получите детальный чек-лист для аудита.
Процессы РБПО только формируются
Начните с ключевых практик для минимизации рисков в разработке ПО. Узнайте у наших экспертов с чего начать-получите детальный чек-лист для аудита.
Получить консультацию
Шаг: 
Результаты носят ориентировочный характер и предоставляют поверхностный анализ — для детальной проверки зрелости процессов РБПО обратитесь к нашим специалистам.

Почему выбирают нас

Входим в технический комитет при ФСТЭК России по направлению «Защита информации» (ТК 362)
Состоим в рабочей группе по разработке серии ГОСТ по РБПО
Являемся членом Ассоциации финансовых технологий (АФТ)
Более 10 лет опыта в построении процессов РБПО
В нашей команде работают эксперты из каждой области, необходимой для подготовки к сертификации

Обращайтесь к Swordfish Security

Мы поможем ускорить подготовку к сертификации и поддержим вас в процессе её прохождения