Контакты
Подписка 2025

Безопасная безопасность

Ярослав Гальчук, 25/09/24

Цифровые технологии уже давно играют ключевую роль в жизни общества, и их развитие неразрывно связано с вопросами безопасности. Может ли быть достигнута 100%-ная безопасность и могут ли быть уязвимы сами средства защиты информации?

Автор: Ярослав Гальчук, инженер группы сопровождения разработки компании "Газинформсервис"

ris1-Sep-24-2024-02-01-23-5408-PM

Одна голова хорошо, а две – лучше

Чтобы СЗИ могли обеспечивать максимальную безопасность, необходима тщательная проработка их функциональности. В этом процессе ключевую роль играет тесное сотрудничество между разработчиками и пользователями. Практика показывает, что объединение их усилий – залог безопасного использования технологий и снижения рисков киберугроз. Именно поэтому в мире кибербезопасности появляется все больше альянсов. Многие крупные интеграторы и вендоры в области информационной безопасности придают большое значение открытой коммуникации и сотрудничеству с партнерами и заказчиками. Компании работают над совместимостью продуктов собственной разработки и коллаборированных решений. Это позволяет приблизить заказчика к более качественному продукту. Как говорится, одна голова хорошо, а две – лучше.

На шаг впереди

Важно отметить, что разработчики СЗИ должны быть на шаг впереди киберпреступников, используя самые современные технологии и практики для обеспечения безопасности. В отличие от стандартных приложений, при разработке СЗИ вопрос собственной уязвимости прорабатывается гораздо строже и тщательнее. Заказчики должны быть уверены в безопасности поставляемых решений.

Что может дать такую уверенность и насколько она обоснована?

Во-первых, сегодня многие комплексы СЗИ функционируют во взаимодействии с определенной инфраструктурой, которую требуют регуляторы, а им принято доверять.

Во-вторых, эта инфраструктура должна включать только сертифицированные операционные системы и программное обеспечение. Однако даже эти компоненты могут иметь ошибки и уязвимости, влияющие на безопасность всей системы.

Склоняюсь к тому, что абсолютной неуязвимости не существует: всегда есть множество потенциальных рисков и подводных камней. Однако, если говорить именно об уязвимостях, то можно сказать, что сами СЗИ зачастую достаточно надежны, но они не могут функционировать вне операционной системы, и здесь уже возникают риски.

Минимизировать риски

Для обеспечения безопасности информационных систем необходимо внедрять практики РБПО, а также следовать стандартам безопасной разработки на всех этапах создания и эксплуатации программного обеспечения. В качестве примера можно привести компанию "Газинформсервис" и ее СЗИ Efros Defence Operations.

При разработке Efros Defence Operations реализуются требования национального стандарта ГОСТ Р 56939 "Защита информации. Разработка безопасного программного обеспечения. Общие требования". Этот стандарт направлен на достижение целей, связанных с предотвращением появления, выявлением и устранением недостатков и недекларированных возможностей в ПО, и содержит общие требования, предъявляемые к разработчикам и производителям ПО при реализации процессов разработки безопасного программного обеспечения.

В рамках РБПО применяются различные инструменты безопасности, которые позволяют обнаруживать уязвимости и ошибки в коде на ранних этапах разработки, что снижает риски и затраты на исправление ошибок.

Хранение всех исходных кодов осуществляется в локальных репозиториях, организована изоляция среды сборки (build-агентов, репозиториев, хранилищ образов и артефактов).

Встать на путь полной безопасности

Но даже при выполнении всех вышеуказанных мер и наличии идеально защищенной операционной системы, крайне сложно обеспечить полную безопасность, если заказчик не выполняет ряд важных действий, а именно: своевременно не устанавливает обновления и патчи от вендоров.

Безопасность ПО – это общая ответственность вендоров и пользователей. Объединив усилия, мы сможем минимизировать риски и обеспечить высокий уровень защиты от киберугроз. К сожалению, на практике иногда бывает по-другому: запустили ПО и забыли. В большинстве случаев необходима дальнейшая комплексная работа: техническая поддержка, экспертиза, участие клиента. Объединение усилий всех участников цифрового мира – разработчиков, вендоров и пользователей – это залог безопасного использования цифровых технологий и снижения рисков киберугроз. Только совместными усилиями можно защитить информацию от новых, изощренных атак и обеспечить безопасное будущее в цифровом мире. А главное, больше не задаваться вопросом "уязвимы ли неуязвимые?" и быть неуязвимыми для атак злоумышленников.

Темы:РБПО

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • О безопасности заимствованных компонентов Open Source
    Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения, ведущий научный сотрудник ФГБУН “ИСП РАН”
    Open Source стал неотъемлемой частью современного мира. Сегодня уже нет необходимости объяснять, что это такое, – с этим явлением все давно свыклись и приняли его как данность. Однако возникает другой вопрос: как эффективно и зрело работать с Open Source?
  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...