НПА и ГОСТы

Область: Поддержка безопасности эксплуатируемых средств защиты информации (далее - СЗИ). Тип недостатка: Отсутствие поддержки разработчиком безопасности эксплуатируемых СЗИ, в том числе устранения известных уязвимостей программных компонентов СЗИ.

Область: Тестирование механизмов реализации функций безопасности (далее - ФБ). Типы недостатков: Неполная инвентаризация реализуемых средством защиты информации (далее - СЗИ) ФБ, недостаточный объем тестирования реализующего ФБ программного кода.

Примеры некорректных ссылок.

Алгоритм представления перечня заимствованных программных компонентов с открытым исходным кодом (далее - SBOM).

Область: Инструментальный анализ. Тип недостатка: Необоснованный выбор инструментов, в том числе инструментов статического анализа исходного кода, для выстраивания и выполнения процессов РБПО.

Область: Фаззинг-тестирование. Тип недостатка: Применение средств фаззинг-тестирования, не реализующих генетические алгоритмы фаззинг-тестирования (в том числе за счет инструментирования тестируемого кода).

Область: Фаззинг-тестирование. Тип недостатка: Игнорирование необходимости анализа сэмплов, приведших к зависанию фаззинг-цели.

Область: Статический анализ. Тип недостатка: Недостаточное обоснование размеченных предупреждений о потенциальных уязвимостях кода, полученных от статического анализатора.

Область: Фаззинг-тестирование. Тип недостатка: Отсутствие путей выполнения программы, обнаруженных фаззером.

Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования.

Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования.

Защита информации. Разработка безопасного программного обеспечения. Общие требования.

О защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений.

В целях повышения эффективности и качества проведения исследований по выявлению уязвимостей ФСТЭК России разработана и утверждена 25 декабря 2020 г. новая редакция Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении. Методика предназначена для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищённые средства обработки информации (далее - средства), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации. С 1 апреля 2021 г. испытания программного обеспечения по выявлению уязвимостей и недекларированных возможностей должны проводиться в соответствии с Методикой.

Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования.