Контакты
Подписка 2024

Безопасная безопасность

Ярослав Гальчук, 25/09/24

Цифровые технологии уже давно играют ключевую роль в жизни общества, и их развитие неразрывно связано с вопросами безопасности. Может ли быть достигнута 100%-ная безопасность и могут ли быть уязвимы сами средства защиты информации?

Автор: Ярослав Гальчук, инженер группы сопровождения разработки компании "Газинформсервис"

ris1-Sep-24-2024-02-01-23-5408-PM

Одна голова хорошо, а две – лучше

Чтобы СЗИ могли обеспечивать максимальную безопасность, необходима тщательная проработка их функциональности. В этом процессе ключевую роль играет тесное сотрудничество между разработчиками и пользователями. Практика показывает, что объединение их усилий – залог безопасного использования технологий и снижения рисков киберугроз. Именно поэтому в мире кибербезопасности появляется все больше альянсов. Многие крупные интеграторы и вендоры в области информационной безопасности придают большое значение открытой коммуникации и сотрудничеству с партнерами и заказчиками. Компании работают над совместимостью продуктов собственной разработки и коллаборированных решений. Это позволяет приблизить заказчика к более качественному продукту. Как говорится, одна голова хорошо, а две – лучше.

На шаг впереди

Важно отметить, что разработчики СЗИ должны быть на шаг впереди киберпреступников, используя самые современные технологии и практики для обеспечения безопасности. В отличие от стандартных приложений, при разработке СЗИ вопрос собственной уязвимости прорабатывается гораздо строже и тщательнее. Заказчики должны быть уверены в безопасности поставляемых решений.

Что может дать такую уверенность и насколько она обоснована?

Во-первых, сегодня многие комплексы СЗИ функционируют во взаимодействии с определенной инфраструктурой, которую требуют регуляторы, а им принято доверять.

Во-вторых, эта инфраструктура должна включать только сертифицированные операционные системы и программное обеспечение. Однако даже эти компоненты могут иметь ошибки и уязвимости, влияющие на безопасность всей системы.

Склоняюсь к тому, что абсолютной неуязвимости не существует: всегда есть множество потенциальных рисков и подводных камней. Однако, если говорить именно об уязвимостях, то можно сказать, что сами СЗИ зачастую достаточно надежны, но они не могут функционировать вне операционной системы, и здесь уже возникают риски.

Минимизировать риски

Для обеспечения безопасности информационных систем необходимо внедрять практики РБПО, а также следовать стандартам безопасной разработки на всех этапах создания и эксплуатации программного обеспечения. В качестве примера можно привести компанию "Газинформсервис" и ее СЗИ Efros Defence Operations.

При разработке Efros Defence Operations реализуются требования национального стандарта ГОСТ Р 56939 "Защита информации. Разработка безопасного программного обеспечения. Общие требования". Этот стандарт направлен на достижение целей, связанных с предотвращением появления, выявлением и устранением недостатков и недекларированных возможностей в ПО, и содержит общие требования, предъявляемые к разработчикам и производителям ПО при реализации процессов разработки безопасного программного обеспечения.

В рамках РБПО применяются различные инструменты безопасности, которые позволяют обнаруживать уязвимости и ошибки в коде на ранних этапах разработки, что снижает риски и затраты на исправление ошибок.

Хранение всех исходных кодов осуществляется в локальных репозиториях, организована изоляция среды сборки (build-агентов, репозиториев, хранилищ образов и артефактов).

Встать на путь полной безопасности

Но даже при выполнении всех вышеуказанных мер и наличии идеально защищенной операционной системы, крайне сложно обеспечить полную безопасность, если заказчик не выполняет ряд важных действий, а именно: своевременно не устанавливает обновления и патчи от вендоров.

Безопасность ПО – это общая ответственность вендоров и пользователей. Объединив усилия, мы сможем минимизировать риски и обеспечить высокий уровень защиты от киберугроз. К сожалению, на практике иногда бывает по-другому: запустили ПО и забыли. В большинстве случаев необходима дальнейшая комплексная работа: техническая поддержка, экспертиза, участие клиента. Объединение усилий всех участников цифрового мира – разработчиков, вендоров и пользователей – это залог безопасного использования цифровых технологий и снижения рисков киберугроз. Только совместными усилиями можно защитить информацию от новых, изощренных атак и обеспечить безопасное будущее в цифровом мире. А главное, больше не задаваться вопросом "уязвимы ли неуязвимые?" и быть неуязвимыми для атак злоумышленников.

Темы:РБПО

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.
  • Сертификация СЗИ – курс на РБПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...