Security Development Lifecycle и ГОСТ Р 56939-2016

Security Development Lifecycle (SDL) — это процесс, который позволяет поддерживать необходимый уровень безопасности системы на этапе разработки, а затем на протяжении всего срока эксплуатации. Эта концепция фокусируется на обеспечении безопасности разрабатываемого приложения, идентификации рисков и управлении ими.

ГОСТ Р 56939-2016 “Защита информации. Разработка безопасного программного обеспечения. Общие требования” PDF: https://allgosts.ru/35/020/gost_r_56939-2016.pdf

Обсуждение участников Telegram-чата КИИ 187-ФЗ (сокращено в чате, перенесено на Форум в полном объеме как узконаправленное):

Aleksey Markov, [28.07.18 20:44]
Вот кстати интересно. Могут ли компании разработчики прикладного ПО чем то помочь потребителю в соответствии требованиям 187-ФЗ?
Какие у компании разработчика могут быть для этого процессы? Например цикл разработки безопасного программного обеспечения (Secure SDLC), разработка встроенного комплекса средств защиты в прикладное ПО с последующей сертификацией на соответствие ТУ?

Alexander Zemlanin, [28.07.18 23:09]
[In reply to Aleksey Markov]
Само прикладное ПО тут никак не относится к теме КИИ, другой вопрос если в прикладное ПО встроены меры защиты, а эти меры хотят потом использовать для закрытия требований 239 по СЗИ, например аутентификация или разговаривать доступ. Тогда необходимо сертифицировать по на ндв4 , про ОУД 4 , можно посмотреть тоже будет хорошо и тогда вы поможете тем что ваше прикладное ПО , будет закрывать часть требований по ИБ для вашего заказчика. Да для разработки защищенного ПО есть наш гост
ГОСТ Р 56939-2016

Aleksey Markov, [28.07.18 23:17]
[In reply to Aleksey Markov]
Благодарю коллега, видел видел. Правда ГОСТ не описывает методологию Secure DLC.

Alexander Zemlanin, [28.07.18 23:20]
Я анализировал , пытался применить на жизненый цикл разрабоки ПО, если действительно внедрить то что предлагают в данном ГОСТ, примерно 65-75 % , того что требуется для сертификации у вас будет, нужно только будет это все привести к нужной форме и документы можно сразу добавлять в комплект заявителя на сертификацию во ФСТЭК
[In reply to Aleksey Markov]
Пожалуйста, а что именно вам интересно , методы тестирования , кодирования? Коллеги мне как то рекомендовали что то из нистов по-моему , но точнее не скажу , помню что документ новый того или этого года …сейчас может найду

Aleksey Markov, [28.07.18 23:32]
[In reply to Alexander Zemlanin]
Интересен опыт запуска процесса в компании разработчике. Анализировал где то год опыт сбертеха, епама, Яндекса, циски и Майкрософта по запуску данного процесса. Интересует, где и как обучать разработчиков методам безопасного программирования. Нашлась одна площадка на базе Luxoft. Но не по С++ правда.
В любом случае, на ssdl должен быть заказчик, который требует как минимум отчётности по нему.
Интересно, станет ли 187фз стимулом для заказчика по наличию ssdl у компании разработчика/ подрядчика?

Alexander Zemlanin, [28.07.18 23:35]
Nist sp 800 64
Мне еще рекомендовали

Aleksey Markov, [28.07.18 23:35]
[In reply to Alexander Zemlanin]
В библиотеку)