安全开发方法学分类规范

注解

本文介绍了对安全开发的方法，工具和方法的规范的研究，该研究在俄罗斯联邦的领土上被采用，包括从外国同事那里获得的经验，“最佳实践”，经验教训和其他目前使用的选择。

从商业领域和最有效的安全开发格式来看研究。这项研究在数据选项的实际部分及其具体情况中以通用形式和私有形式与应用程序一起考虑。本文的目的是在安全执行中转移应用方法，方法和开发工具的经验和数据分析。本文以安全设计中开发信息系统和环境的方式，对当前市场，立法进行了分析，适当的分析，这也被称为安全开发，并且由于紧缩政策，它每天都在各行各业的公司中变得越来越重要。 IS监管者的建议和要求[1]。

还应该指出的是，安全开发的普及主要是由于这样的事实，即风险，信息安全事件的数量每天都在急剧增长。渐进式攻击者开始详细了解遭受攻击的组织的运作原理，而由于缺乏能力和这些公司的员工，他们设法进入了受信任的用户组。此外，攻击者还学会了使用更复杂的工具，方法来组织入侵，“利用”等行为，以获取机密信息，欺诈活动。此主题在ISI上的个人资料文章中占很大一部分。

介绍

本文基于IS和组织环境的自动化原理和流程，从管理者和开发人员的个人实践角度考虑问题。本文提出了一种实用的评估意见及其有效性。文章的一部分与OWASP TOP 10中的问题有关，但是对此的重点将放在后续文章中。应当指出的是，没有考虑按照RF PP No.608（包括FSTEC第55号命令）和有关此方向安全开发的其他文件进行认证，证明，满足实验实验室要求，软件设计的实践。考虑以GOST R 56939格式表示安全执行，自动化，优化，可伸缩性，BP适应性（业务流程）中的通用开发特征的表示格式。

在俄罗斯联邦的商业部门中，对于组织的管理组织的所有分支机构，在与IT和相关部门直接或间接相关的领域（例如IS（信息系统）和环境）都没有既定的概念。总体上，尤其是其中没有包括对其分类的理解。在消费者领域的市场上普遍接受的观点中，也没有了解结构的构造，也没有直接了解IS和环境工作的语义。这种公认的格式解释如下：在整个时间段内，用于创建，优化，可伸缩性，迭代集成，投入工业运营的方法，工具和开发方法都是规范的，在各个特定和孤立的领域中，使用不同类型的方法和方法来实施这些方法。结果，对于从事信息处理，存储，包括IS（IS）信息的严重问题：完整性，可用性，机密性的组织，事件的威胁，风险和后果开始出现。在接下来的文章中还将对此问题进行单独分析，值得注意的是，当今最重要的方面已成为KII RF的OIB，它还以ISMS（信息安全管理系统）的格式分别采取了评估风险和事件的方向。由于这些格式和形式因素，组织出现了安全发展的问题，方向开始以指数方式发展并获得指数动量。

, , , , :

1. :
   
   1.1. ;
   
   1.2. ;
   
   1.3. .
2. , ;
3. ;
4. , , :
   
   4.1. - ;
   
   4.2. - .
5. , ;
6. ;
7. ;
8. , — ;
9. ;
10. - , ;
11. - , - ;
12. ;
13. ;
14. , , :
    
    14.1. ;
    
    14.2. ;
    
    14.3. ;
    
    14.4. ;
    
    14.5. .
15. .

, , ( ) , :

1. , , , ;
2. , [2-5].

, , , . , , , — , , . IT-, : , , , , , , , — , .

, , , — , , , , - , . , , , .

№149 , , : « – ». , , , , , , .

, :

1. : , ;
2. , : , ;
3. , UI/UX, - , ( ), .

— , , , . , , . - . , , : , [6-10].

- , :

1. , , , ;
2. , , . ;
3. , , S.M.A.R.T.;
4. , , , , ;
5. - , , . , , .

. . - , , .

..: " . ", :

1. , , , , , :
   
   1.1. , , , , :
   
   1.1.1. , ;
   
   1.1.2. , .
   
   1.2. - (), . , , , UI/UX . : , , , :
   
   1.2.1. - , , , ;
   
   1.2.2. , , ;
   
   1.2.3. , , .
   
   1.3. – - , , , - , , :
   
   1.3.1. , : - — , , , , ;
   
   1.3.2. , , , ;
   
   1.3.3. , , [11].
   
   1.4. , - , , :
   
   1.4.1. , ;
   
   1.4.2. , .
   
   1.5. , , , . , - . , .
2. — - , :
   
   2.1. – , , ;
   
   2.2. , , ;
   
   2.3. , , .
3. , . , : , ;
4. , , ;
5. ..: " ", – RAD (Rapid Application Development). — . :
   
   5.1. , , . : , 2 10 , , 100 , ;
   
   5.2. , , . 2 6 , , , .

, , , . , OWASP TOP 10, , ISO/IEK 27000.

, , . , — , "", "" , . , " " — . .

, (, ) , , :

1. , , UI/UX , . , , , : ;
2. , , "" , : , , , UI/UX;
3. , , , ;
4. , .

, , . , . , , . , , .

, , :

1. , ;
2. , ;
3. Digital, ;
4. - ;
5. , , .

, , : " ?". , "" , . , "", , . , — [12].

, :

1. Manifest for Agile Software Development, ;
2. SCRUM — " ", , , . ,  stand-up, , :
   
   2.1. ?
   
   2.2. ?
   
   2.3. ?
   
   2.4. ?
   
   2.5. .
3. : eXtreme Programming, XP, , , , "" ;
4. Crystal — , , , , :
   
   4.1. , ;
   
   4.2. , , . , .
5. , : Adaptive Software Development, ASD — , , . , . : " – – " , : " – – »;
6. - , : Feature Driven Development, FDD, , , :
   
   6.1. ;
   
   6.2. ;
   
   6.3. ;
   
   6.4. ;
   
   6.5. .

, , , , , , , , — "". , , , , , , "". PenTest, DevSecOps , [13-15].

, , . , , . , , .

, , , , .

, , . , , , , .

这些安全的开发方法可以为组织提供增加的利润，版本控制，入侵防御，风险最小化，并在用户之间提供受信任的级别，这将增加组织的资产和负债。

PS：如果您提出减号，请发表评论，以免将来我不会犯此类错误。