AKTIV.CONSULTING

⚡️C 1 июня 2024 года вступил в силу приказ ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации». Данный документ важен для организаций-разработчиков СрЗИ.

Наш методолог по ИБ Алексей Филиппов выделил основные моменты в документе, которые необходимо исполнить изготовителю СрЗИ:

1. Внедрить процессы БРПО, описанные в ГОСТ 56939-2016.

2. Заключить договор для проведения сертификации с аккредитованным ФСТЭК России органом по сертификации (указаны на сайте регулятора).

3. Направить во ФСТЭК России заявку на сертификацию (полный перечень информации, который необходимо указать в заявке, рекомендуем посмотреть в самом приказе).

К заявке нужно приложить руководство по БРПО (разработанное в соответствии с вышеуказанным ГОСТ).

4. Устранить замечания ФСТЭК России к заявке и руководству (в случае их наличия).

5. После получения положительного решения от ФСТЭК России — направить в орган по сертификации руководство по БРПО для проведения процедуры сертификации в сроки, установленные договором.

Сроки рассмотрения заявки и прочие взаимодействия с ФСТЭК России также описаны в приказе.


✅Процедура сертификации включает:

• оценку соответствия руководства по БРПО и иной документации;

• проверку наличия средств разработки ПО, а также средств, предназначенных для проведения композиционного, статического и динамического анализа ПО;

• проверку реализации процессов БРПО, приведенных в руководстве и в иной документации;

• проверку реализации процедур поддержки безопасности ПО;

• проверку выполнения требований к обучению специалистов, участвующих в реализации процессов БРПО.


➡️ По результатам сертификации орган сертификации оформляет отчетные документы и в случае несоответствия направляет изготовителю СрЗИ.

➡️ Изготовитель устраняет выявленные несоответствия и информирует об этом орган по сертификации, после чего проводится повторная сертификация и оформляются новые документы по сертификации.

➡️ Все документы орган направляет во ФСТЭК России и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.

➡️ В случае выявления в материалах сертификации недостатков ФСТЭК России направляет органу по сертификации и изготовителю уведомление о выявленных в материалах сертификации недостатках с их описанием и предложениями по устранению.

➡️ Орган по сертификации с участием изготовителя устраняет выявленные недостатки, при необходимости проводит повторную сертификацию и представляет во ФСТЭК России доработанные материалы сертификации.

Сертификат соответствия выдаётся на срок, указанный в заявке, но не более чем на 5 лет!


❗️Таким образом, процедура сертификации для изготовителя СрЗИ в основном сводится к внедрению процессов БРПО, согласно требованиям ГОСТ 56939-2016. Это, в свою очередь, может оказаться непростой задачей, т.к. стандарт довольно объемный и охватывает многие стадии ЖЦ ПО, а также требует серьезного отношения к документированию и сбору свидетельств по процессам (что в коллективах разработчиков не вызывает зачастую особого энтузиазма).

Кроме того, в стандарте описаны требования к внедрению смежных стандартов, относящихся к безопасной разработке, например, ГОСТ Р 71207-2024 по статическому анализу, ГОСТ Р 71206-2024 по безопасному компилятору и другие проекты ГОСТ по динамическому анализу, моделированию угроз и т.д.
#БРПО

💬tg_AC

Please open Telegram to view this post

VIEW IN TELEGRAM

👍11🔥5👏3❤1

www.group-telegram.com/us/aktivcons.com/1225

1.61K viewsJun 3, 2024 at 11:56

⚡️C 1 июня 2024 года вступил в силу приказ ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации». Данный документ важен для организаций-разработчиков СрЗИ.

Наш методолог по ИБ Алексей Филиппов выделил основные моменты в документе, которые необходимо исполнить изготовителю СрЗИ:

1. Внедрить процессы БРПО, описанные в ГОСТ 56939-2016.

2. Заключить договор для проведения сертификации с аккредитованным ФСТЭК России органом по сертификации (указаны на сайте регулятора).

3. Направить во ФСТЭК России заявку на сертификацию (полный перечень информации, который необходимо указать в заявке, рекомендуем посмотреть в самом приказе).

К заявке нужно приложить руководство по БРПО (разработанное в соответствии с вышеуказанным ГОСТ).

4. Устранить замечания ФСТЭК России к заявке и руководству (в случае их наличия).

5. После получения положительного решения от ФСТЭК России — направить в орган по сертификации руководство по БРПО для проведения процедуры сертификации в сроки, установленные договором.

Сроки рассмотрения заявки и прочие взаимодействия с ФСТЭК России также описаны в приказе.


✅Процедура сертификации включает:

• оценку соответствия руководства по БРПО и иной документации;

• проверку наличия средств разработки ПО, а также средств, предназначенных для проведения композиционного, статического и динамического анализа ПО;

• проверку реализации процессов БРПО, приведенных в руководстве и в иной документации;

• проверку реализации процедур поддержки безопасности ПО;

• проверку выполнения требований к обучению специалистов, участвующих в реализации процессов БРПО.


➡️ По результатам сертификации орган сертификации оформляет отчетные документы и в случае несоответствия направляет изготовителю СрЗИ.

➡️ Изготовитель устраняет выявленные несоответствия и информирует об этом орган по сертификации, после чего проводится повторная сертификация и оформляются новые документы по сертификации.

➡️ Все документы орган направляет во ФСТЭК России и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.

➡️ В случае выявления в материалах сертификации недостатков ФСТЭК России направляет органу по сертификации и изготовителю уведомление о выявленных в материалах сертификации недостатках с их описанием и предложениями по устранению.

➡️ Орган по сертификации с участием изготовителя устраняет выявленные недостатки, при необходимости проводит повторную сертификацию и представляет во ФСТЭК России доработанные материалы сертификации.

Сертификат соответствия выдаётся на срок, указанный в заявке, но не более чем на 5 лет!


❗️Таким образом, процедура сертификации для изготовителя СрЗИ в основном сводится к внедрению процессов БРПО, согласно требованиям ГОСТ 56939-2016. Это, в свою очередь, может оказаться непростой задачей, т.к. стандарт довольно объемный и охватывает многие стадии ЖЦ ПО, а также требует серьезного отношения к документированию и сбору свидетельств по процессам (что в коллективах разработчиков не вызывает зачастую особого энтузиазма).

Кроме того, в стандарте описаны требования к внедрению смежных стандартов, относящихся к безопасной разработке, например, ГОСТ Р 71207-2024 по статическому анализу, ГОСТ Р 71206-2024 по безопасному компилятору и другие проекты ГОСТ по динамическому анализу, моделированию угроз и т.д.
#БРПО

💬tg_AC