5.2. Поставка пользователю эксплуатационных документов.
6. Меры по разработке безопасного программного обеспечения, реализуемые при решении проблем в программном обеспечении в процессе эксплуатации:
6.1. Реализация и использование процедуры отслеживания и исправления обнаруженных ошибок ПО и уязвимостей программы.
6.2. Систематический поиск уязвимости программы.
7. Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента документацией и конфигурацией программы:
7.1. Реализация и использование процедуры уникальной маркировки каждой версии ПО.
7.2. Использование системы управления конфигурацией ПО.
8. Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента инфраструктурой среды разработки программного обеспечения:
8.1. Защита от несанкционированного доступа к элементам конфигурации.
8.2. Резервное копирование элементов конфигурации.
8.3. Регистрация событий, связанных с фактами изменения элементов конфигурации.
9. Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента людскими ресурсами
9.1. Периодическое обучение сотрудников.
9.2. Периодический анализ программы обучения сотрудников.
Далее рассмотрим примерный набор документов, которые должны быть в наличии в соответствии со стандартом.
Политика информационной безопасности в соответствии с ИСО/МЭК 27001.
Руководство по разработке безопасного ПО.
Перечень требований по безопасности (могут быть включены в ТЗ).
Модель угроз безопасности.
Проект архитектуры программы (логическая структура программы).
Перечень инструментальных средств разработки ПО.
Описание проектных решений, обеспечивающих выполнение требований по безопасности;
Порядок оформления исходного кода программы.
Регламент и протоколы статического тестирования программы.
Регламент и протоколы экспертизы исходного кода программы.
Регламент и протоколы функционального тестирования программы.
Регламент и протоколы тестирования на проникновение.
Регламент и протоколы динамического анализа кода программы.
Регламент и протоколы фаззинг-тестирования программы.
Эксплуатационная документация.
Регламент передачи ПО пользователю.
Регламент отслеживания и исправления обнаруженных ошибок ПО и уязвимостей программы.
Регламент приема и обработки сообщений от пользователей об ошибках ПО и уязвимостях программы.
Регламент доведения до пользователей информации об уязвимости программы и рекомендаций по их устранению.
Журнал ошибок и уязвимостей программы.
Регламент экстренного выпуска обновлений ПО.
Регламент, протоколы и журналы поиска уязвимостей программы.
Регламент доведения до пользователей сведений об уязвимостях программы.
Регламент маркировки версий ПО.
Регламент управления конфигурацией ПО.
Регламент защиты инфраструктуры среды разработки ПО.
Регламент резервного копирования конфигурации ПО.
Регламент регистрации событий изменений конфигурации ПО.
Журнал регистрации изменений конфигурации ПО.
Программа обучения сотрудников в области разработки безопасного ПО.
Журнал обучения сотрудников в области разработки безопасного ПО.
Перечень примерный. В самом стандарте допускается компоновка документов по усмотрению разработчика. Подводя итог, хочется отметить достоинства документа:
продуманный набор мер, хорошее объяснение по сути каждой меры;
разрешается использовать компенсирующие меры;
предусмотрен широкий перечень проверок кода и тестирования ПО;
связь с ГОСТ Р ИСО/МЭК 15408, ИСО/МЭК 12207-2010.
P.S. Для тех, кто хочет глубже понять стандарт, советую отличную научную статью, практически из первоисточника: ссылка. В статье очень подробно объясняется методика разработки стандарта и состав защитных мер.