Статический анализ программного обеспечения в соответствии с требованиями ГОСТ Р 71207–2024 с применением PVS-Studio»

Программа курса охватывает всё необходимое для разработчиков программного обеспечения, специалистов по информационной безопасности и руководителей подразделений разработки для получения знаний теоретических основ и приобретения практических навыков проведения статического анализа исходного кода с применением инструментального средства PVS-Studio в соответствии с требованиями ГОСТ Р 71207–2024 на предприятии с учётом требований актуальной нормативной правовой базы.
По окончании обучения слушатели получают Удостоверение о повышении квалификации. Успешно прошедшие обучение смогут самостоятельно организовать для своей организации:
- процесс регулярного статического анализа кода в соответствии с требованиями ГОСТ Р 71207–2024;
- интеграцию статического анализа в процессы непрерывной интеграции и доставки (CI/CD);
- проекты документов предприятия по проведению статического анализа в рамках процессов разработки безопасного программного обеспечения.

Знания и практические навыки, полученные слушателями в ходе прохождения курса, необходимы для того, чтобы предприятие соответствовало требованиям нормативной правовой базы Российской Федерации по направлению разработки безопасного программного обеспечения и статического анализа кода:
- ГОСТ Р 71207–2024 Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования;
- ГОСТ Р 56939–2024 Защита информации. Разработка безопасного программного обеспечения. Общие требования;
- ГОСТ Р ИСО/МЭК 27001-2022 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Приказ ФСТЭК России от 11.04.2025 г. № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»;
- Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Специалистам по разработке и защите программного обеспечения, планирующим прохождение процедуры сертификации в системе сертификации средств защиты информации ФСТЭК России и Министерства обороны Российской Федерации, необходимо выполнять соответствия, изложенные в:

- приказе Министра обороны Российской Федерации от 2020 года № 488 «Об утверждении Положения о системе сертификации средств защиты информации Министерства обороны Российской Федерации»;
- приказе ФСТЭК России от 3 апреля 2018 г. № 55 «Об утверждении положения о системе сертификации средств защиты информации»;
- приказе ФСТЭК России № 76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к технической защиты информации и средствам обеспечения безопасности информационных технологий»;
- методике выявления уязвимостей и НДВ в ПО (Информационное сообщение ФСТЭК России №240-24-647 от 10.02.2021 «О утверждении методики выявления уязвимостей и НДВ в ПО»);
- приказах ФСТЭК России № 117, 21, 31, 239 – «…указанные средства (средства защиты информации – прим. НОУ ДПО УЦБИ «МАСКОМ») должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности)».

В результате обучения Вы получите практические навыки работы с инструментальным средством PVS-Studio для проведения статического анализа исходного кода в соответствии с требованиями ГОСТ Р 71207–2024. В обязательном порядке Вами будут изучены и досконально рассмотрены технологии статического анализа, виды выявляемых критических ошибок, методы фильтрации предупреждений и ручной разметки результатов анализа. Отдельное внимание посвящено организации регулярного статического анализа и его интеграции в процессы CI/CD. Также, в обязательном порядке, будут рассмотрены подходы к формированию требований безопасности к программному обеспечению с учётом законов, нормативных правовых актов и отраслевых стандартов, разработка технического задания на создание безопасного программного обеспечения в соответствии с требованиями ГОСТ 19.201. Это будет сделано для того, чтобы Вы были готовы к практическому применению статического анализа в рамках процессов разработки безопасного программного обеспечения в соответствии с актуальными требованиями регуляторов.