НПА и ГОСТы

Область: Поддержка безопасности эксплуатируемых средств защиты информации (далее - СЗИ). Тип недостатка: Отсутствие поддержки разработчиком безопасности эксплуатируемых СЗИ, в том числе устранения известных уязвимостей программных компонентов СЗИ.

Область: Тестирование механизмов реализации функций безопасности (далее - ФБ). Типы недостатков: Неполная инвентаризация реализуемых средством защиты информации (далее - СЗИ) ФБ, недостаточный объем тестирования реализующего ФБ программного кода.

Примеры некорректных ссылок.

Алгоритм представления перечня заимствованных программных компонентов с открытым исходным кодом (далее - SBOM).

Область: Инструментальный анализ. Тип недостатка: Необоснованный выбор инструментов, в том числе инструментов статического анализа исходного кода, для выстраивания и выполнения процессов РБПО.

Область: Фаззинг-тестирование. Тип недостатка: Применение средств фаззинг-тестирования, не реализующих генетические алгоритмы фаззинг-тестирования (в том числе за счет инструментирования тестируемого кода).

Область: Фаззинг-тестирование. Тип недостатка: Игнорирование необходимости анализа сэмплов, приведших к зависанию фаззинг-цели.

Область: Статический анализ. Тип недостатка: Недостаточное обоснование размеченных предупреждений о потенциальных уязвимостях кода, полученных от статического анализатора.

Область: Фаззинг-тестирование. Тип недостатка: Отсутствие путей выполнения программы, обнаруженных фаззером.

Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования.

Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования.

Защита информации. Разработка безопасного программного обеспечения. Общие требования.

Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования.

В соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, ФСТЭК России 12 мая 2026 г. утверждена Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении.

О защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений.