1. Общие положения и цели

1.1. Компания ИнфоТеКС, являясь одним из лидеров отечественного рынка информационной безопасности, придает большое значение качеству своих продуктов и решений. Для решения данной задачи Компания внедряет процесс разработки безопасного программного обеспечения (SDL – Security Development Lifecycle). Внедрение практик по разработке безопасного программного обеспечения соответствует долгосрочным целям Компании по развитию линейки продуктов в области информационной безопасности и обеспечивает для них конкурентные преимущества за счет предъявления повышенных требований по надежности и безопасности.

1.2. Целями внедрения процесса разработки безопасного ПО являются:
Общее повышение уровня надежности и безопасности разрабатываемых решений.
Минимизация рисков и возможных негативных последствий от эксплуатации уязвимостей.
Превентивное обнаружение и устранение уязвимостей.

1.3. Политика разработки безопасного программного обеспечения является общедоступным документом, который представляет собой официально принятую руководством компании систему взглядов на проблему обеспечения информационной безопасности, и устанавливает базовые принципы организации процессов по производству безопасного программного обеспечения.

1.4. Настоящая политика является основополагающим документом для разработки положений, инструкций и других организационно-распорядительных документов, регламентирующих процесс разработки ПО, а также для принятия управленческих решений по развитию продуктов.

2. Организация процесса разработки безопасного ПО

2.1. Для реализации поставленных целей (п. 1.2) на каждом из этапов разработки добавляются дополнительные меры, направленные на выполнение стандарта качества и обеспечение безопасности конечного решения. Данные меры применяются ко всем разрабатываемым в Компании продуктам.

2.2. Выбор мер основывается на актуальных угрозах и рисках ИБ, учитывает особенности продукта, для которого они применяются, а также положения нормативных правовых актов, методических документов и национальных стандартов, которым должно соответствовать разрабатываемое ПО.

2.3. В процессе разработки продуктов особое внимание уделяется их качественным характеристикам. Для всех продуктов формулируются требования по уровню надежности и безопасности, которые отслеживаются специалистами на всех этапах разработки. Все выявленные проблемы своевременно устраняются.

2.4. Проводится мониторинг и периодический контроль процесса разработки безопасного ПО. Контроль подразумевает внутренний аудит связанных с разработкой бизнес-процессов на предмет их эффективности, полноты и достаточности.

2.5. Осуществляется непрерывное усовершенствование процесса разработки безопасного ПО. Изменения корректируют процесс в сторону повышения эффективности, выявляют и устраняют недостатки. Особое внимание уделяется актуализации мер по обеспечению безопасной разработки в контексте развития информационных технологий, появления новых типов угроз и способов защиты от них.