PCI Software Security Framework (SSF) это набор стандартов и сопутствующих им дополнительных материалов. В данный момент набор включает в себя 2 параллельно работающих стандарта, имеющих общую основу, а также свои особенности:
· Secure Software Standard – требования к функциям и возможностям безопасности ПО
· Secure SLC Standard – требования к процессам разработки безопасного ПО
· как и во многих других лучших практиках, декларируется объективный риск-ориентированный подход при выборе мер защиты и частоты их выполнения
· требования разделены на 4 большие группы:
o управление безопасностью
o безопасная разработка ПО
o управление ПО и данными
o безопасность взаимодействия
· каждое требование включает следующие компоненты:
o задачи (Control Objectives) – результаты которые должны быть достигнуты
o оценка (Test Requirements) – способы которые используются для оценки выполнения требований (Exemine, Observe, Interview)
o рекомендации (Guidance) – дополнительная информация по реализации и лучшие практики
· пример требования
· пример листа самооценки/оценки
А давайте сопоставим PCI Secure SLC Standard с главным стандартом по разработке безопасного ПО в РФ ГОСТ Р 56939-2016 ( обзор на который я делал ранее ).
Вывод: как видно во многих пунктах стандарты совпадают, так что вполне можно совмещать лучшее и учитывать дополнительные лучшие практики при построении процессов разработки ПО.
PS: Интересно ли кому-то сопоставление данных стандартов с требованиями к разработке ПО из ГОСТ 57580?
PPS:
