2023, Арустамян, С. С., Вареница, В. В., Марков, А. С., Марков, Алексей Сергеевич

В работе представлены результаты исследования состояния выполнения требований по разработке безопасного программного обеспечения, определенные национальными стандартами. Приведены объективные и субъективные причины востребованности внедрения процедур разработки безопасного программного обеспечения в жизненный цикл программно-технических изделий в защищенном исполнении. Отмечена зависимость числа программных ошибок и уязвимостей от зрелости компании-разработчика программного обеспечения. Рассмотрены требования национальных стандартов в области разработки безопасных программ в контексте обязательной и добровольной сертификации программных изделий по требованиям безопасности информации. Выделены процессы разработки безопасного программного обеспечения, имеющие приоритетное значение в деятельности испытательной лаборатории. Показаны особенности гармонизации национальных и международных стандартов по безопасности программных приложений. Отмечены преимущества национальных стандартов относительно зарубежных практик и стандартов. Приведены оригинальные концептуальные модели выбора процедур разработки безопасных программ и внедрения процессов разработки программ. Представлена общая методика проведения аудита системы менеджмента разработки безопасных программ. Приведена статистика по внедрению процедур разработки безопасных программ в процесс серийного производства программных средств защиты информации. Отмечены особенности российского рынка разработки и производства безопасного программного обеспечения. Отмечены типовые организационные ошибки разработчиков программ в процессе реализации требований по безопасности информации. Сформулированы рекомендации по повышению эффективности внедрения процедур разработки безопасного программного обеспечения. Сделан вывод об эффективности и перспективности развития систем менеджмента безопасности программных ресурсов в рамках систем менеджмента качества и информационной безопасности.