Молодежь и наука - третье тысячелетие: Материалы студенческой научно-практической конференции с международным участием

170 А. А. Ровенский Институт передовых информационных технологий, II курс магистратуры (очная форма обучения) Научный руководитель – Ю. М. Мартынюк СТАНДАРТИЗАЦИЯ АНАЛИЗА ЗАЩИЩЁННОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В условиях постоянно растущей угрозы информационной безопасности программного обеспечения (ПО), важной задачей является обеспечение надёж- ной защиты информации как на этапе разработки, так и при эксплуатации про- граммных продуктов. В данной статье рассматриваются вопросы применения национального стандарта ГОСТ Р 71207–2024 «Защита информации. Разработ- ка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования» [1] при анализе защищённости ПО. Стандарт разработан Федеральной службой по техническому и экспортному контролю (ФСТЭК России) совместно с ИСП РАН и введён в действие 1 апреля 2024 года. Его основная цель – установить единые требования к процедурам статического анализа, инструментам и квалификации специалистов, проводящих анализ. Стандарт определяет понятия, необходимые для проведения статического анализа – от терминологии, описывающей процессы анализа потоков данных и контроля за управлением, до классификации критических ошибок. Среди ос- новных понятий выделяются следующие: • статический анализ ПО. Процесс исследования исходного кода (без его непосредственного выполнения) с целью выявления уязвимостей, ошибок и нарушений стандартов безопасности; • критическая ошибка. Ошибка в программе, способная повлиять на безопасность обрабатываемой информации; • методы анализа. В ГОСТ описаны методы, такие как внутрипроцедур- ный анализ, межпроцедурный контекстно-чувствительный анализ, анализ по- меченных данных и анализ на синтаксическом уровне, которые в комплексе позволяют обнаружить даже потенциальные дефекты, способные привести к отказу или компрометации безопасности. Стандарт применяется для анализа ПО различных категорий – от систем- ного ПО до прикладных решений. При этом особое внимание уделяется диа- гностическим методикам, позволяющим классифицировать ошибки с целью быстрого выявления тех, которые представляют наибольшую угрозу. ГОСТ Р 71207–2024 детально описывает этапы внедрения статического анализа, основными из которых являются: • подготовительный этап: выбор специализированного статического анализатора, подготовка среды сборки и анализа. На этом этапе проводится оценка используемых языков программирования, настройки сборки и анализ исходного кода для определения параметров анализа; • начальный этап: конфигурация выбранного инструмента для конкрет- ного ПО, выполнение первичного анализа, разметка полученных результатов