ГОСТ Р № 58412-2019 от 29.05.2019

Угроза безопасности информации при разработке ПО
5.1.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при задании требований по безопасности, предъявляемых к создаваемому программному обеспечению
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016 
Определение требований по безопасности, предъявляемых к разрабатываемому ПО (5.1.3.1); 
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
определение, документирование и соблюдение политики информационной безопасности (4.13); 
периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2) 

Угроза безопасности информации при разработке ПО
5.1.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о требованиях по безопасности, предъявляемых к создаваемому программному обеспечению
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Определение, документирование и соблюдение политики информационной безопасности (4.13) 

Угроза безопасности информации при разработке ПО
5.2.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при создании проекта архитектуры программы
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Моделирование угроз безопасности информации (5.2.3.1); 
уточнение проекта архитектуры программы с учетом результатов моделирования угроз безопасности информации (5.2.3.2); 
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
определение, документирование и соблюдение политики информационной (4.13); 
периодический анализ программы обучения работников (5.9.3.2); 

Угроза безопасности информации при разработке ПО
5.2.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о проекте архитектуры программы
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Определение, документирование и соблюдение политики информационной безопасности (4.13) 

Угроза безопасности информации при разработке ПО
5.3.1 Угроза внедрения уязвимостей в исходный код программы в ходе его разработки
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Создание программы на основе уточненного проекта архитектуры программы (5.3.3.2); 
создание (выбор) и использование при создании программы порядка оформления исходного кода программы (5.3.3.3); 

статический анализ исходного кода программы (5.3.3.4), экспертиза исходного кода программы (5.3.3.5), проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); 

реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
определение, документирование и соблюдение политики информационной безопасности (п. 4.13); 
периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2) 

Угроза безопасности информации при разработке ПО
5.3.2 Угроза внедрения уязвимостей программы путем использования заимствованных у сторонних разработчиков программного обеспечения уязвимых компонентов
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Статический анализ исходного кода программы (5.3.3.4); 
экспертиза исходного кода программы (5.3.3.5); 
проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); 
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
определение, документирование и соблюдение политики информационной безопасности (4.13); 
периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2) 

Угроза безопасности информации при разработке ПО
5.3.3 Угроза внедрения уязвимостей программы из-за неверного использования инструментальных средств при разработке программного обеспечения
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); 
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
определение, документирование и соблюдение политики информационной безопасности (4.13); 
периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2) 

Угроза безопасности информации при разработке ПО
5.3.4 Угроза появления уязвимостей программы вследствие ошибок, допущенных в эксплуатационных документах в ходе осуществления их разработки и хранения
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Поставка пользователю эксплуатационных документов (5.5.3.2); 
проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); 
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
- защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
- резервное копирование элементов конфигурации (5.8.3.2); 
- регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3). 
Определение, документирование и соблюдение политики информационной безопасности (4.13); 
периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2) 

 Определение, документирование и соблюдение политики информационной безопасности (4.13) 

Угроза безопасности информации при разработке ПО
5.4.1 Угроза появления уязвимостей вследствие изменения тестовой документации с целью сокрытия уязвимостей программы
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
определение, документирование и соблюдение политики информационной безопасности (4.13); 
периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2) 

Угроза безопасности информации при разработке ПО
5.4.2 Угроза выявления уязвимостей вследствие раскрытия информации о тестировании программного обеспечения
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Определение, документирование и соблюдение политики информационной безопасности (4.13) 

Угроза безопасности информации при разработке ПО
5.4.3 Угроза появления уязвимостей программы вследствие совершения ошибок при выполнении тестирования программного обеспечения
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Функциональное тестирование программы (5.4.3.1), тестирование на проникновение (5.4.3.2), динамический анализ кода программы (5.4.3.3), фаззинг-тестирование программы (5.4.3.4). 
Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2)

Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1); 

реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 

Угроза безопасности информации при разработке ПО
5.5.1 Угроза внедрения уязвимостей в программу в процессе ее поставки
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
- определение, документирование и соблюдение политики информационной безопасности (4.13) 

Угроза безопасности информации при разработке ПО
5.5.2 Угроза появления уязвимостей программы вследствие модификации эксплуатационных документов при их передаче пользователю
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1); 
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
определение, документирование и соблюдение политики информационной безопасности (4.13); 
периодическое обучение работников (5.9.3.1); 

периодический анализ программы обучения работников (5.9.3.2) 

Угроза безопасности информации при разработке ПО
5.5.3 Угроза внедрения уязвимостей в обновления программного обеспечения
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1); 
проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); 
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
определение, документирование и соблюдение политики информационной безопасности (4.13); 
периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2) 

Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 

использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 

защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 

резервное копирование элементов конфигурации (5.8.3.2); 

регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 

определение, документирование и соблюдение политики информационной безопасности (4.13); 

периодическое обучение работников (5.9.3.1); 

периодический анализ программы обучения работников (5.9.3.2) 

Угроза безопасности информации при разработке ПО
5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Определение, документирование и соблюдение политики информационной безопасности (4.13) 

Угроза безопасности информации при разработке ПО
5.7.1 Угроза внедрения в программу уязвимостей при управлении конфигурацией программного обеспечения
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); 
реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); 
использование системы управления конфигурацией ПО (5.7.3.2— 5.7.3.4); 
защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); 
резервное копирование элементов конфигурации (5.8.3.2); 
регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); 
определение, документирование и соблюдение политики информационной безопасности (4.13); 
периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2) 

Угроза безопасности информации при разработке ПО
5.9.1 Угроза появления уязвимостей программы вследствие совершения разработчиком программного обеспечения ошибок при обучении своих работников в области разработки безопасного программного обеспечения
Мера по разработке безопасного ПО согласно ГОСТ Р 56939—2016
Периодическое обучение работников (5.9.3.1); 
периодический анализ программы обучения работников (5.9.3.2)