Контакты
Подписка 2024

Об истории становления сообщества Центра компетенций ФСТЭК России и ИСП РАН

Дмитрий Пономарев, 10/08/23

В России активно действует сообщество Центра компетенций ФСТЭК России и ИСП РАН. Для меня эта история началась в 2018 г. и стала глубоко личной. Придя работать в испытательную лабораторию из сферы, не связанной с регуляторикой, я стал участником процессов, не все аспекты которых мне были понятны как на техническом уровне, так и на уровне идеи.

Автор: Дмитрий Пономарев, заместитель генерального директора – директор департамента внедрения и развития РБПО НТЦ “Фобос-НТ”, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э.Баумана

В числе основных вопросов, которые я задавал себе и своим руководителям, были следующие.

  1. Современные СЗИ вплоть до 100% состоят из компонентов с открытым исходным кодом, типовая сертификация, как правило, подразумевает исследования в отношении одной и той же кодовой базы. При этом требуемый объем работ превышает глубину и возможности любого конечного исследования, тем более полноценный анализ невозможен силами только испытательных лабораторий без процессов РБПО у разработчика.
  2. Разработчики и эксперты максимально атомизированы. Каждый варится в своем "котле", пытаясь делать, по сути, одну и ту же работу, наступая на одни и те же грабли. При этом, осознавая реально требуемый масштаб трудозатрат, как правило, выполняют ее в режиме "лишь бы получить сертификат".
  3. Неоднозначный набор практик и критериев анализа в отношении СЗИ современного масштаба в условиях реальных угроз. В качестве примера можно привести "вставку датчиков" – опытные специалисты хорошо ее помнят.
  4. Для разработчика процесс сертификации напоминает магический ритуал, в котором лаборатория выступает в роли шамана, проводящего заявителя к сертификату через тернии ей одной понятной нормативки. Это приводит к неприятию со стороны инженеров-разработчиков, ведь есть фундаментальная разница между "тяжело, но понятно" и "непонятно зачем". В первом случае результатом становится конструктивный процесс совместной работы, а во втором – желание поскорее "решить вопрос".

В это же время, в конце 2018 г., ФСТЭК России вела активную работу по системному развитию нормативно-правовой базы, и уже к середине 2019 г. были введены в действие два основополагающих документа, неформально известных как "Требования доверия" и "Методика НДВ". На мой взгляд это событие заложило фундамент для формирования сообщества. Отметим и другие значимые вехи.

  • В мае 2019 г. прошли первые курсы ФСТЭК России на базе ИСП РАН. Сертификационная общественность внезапно осознала, что в стране и в Институте в частности созданы и развиваются технологии [1] анализа мирового уровня, а современная сертификация – это в первую очередь "про и для инженеров".
  • Открытые пилотные испытания по Методике на базе "Лаборатории Касперского" и "Кода Безопасности" с инструментальной и методической поддержкой ИСП РАН.
  • Создание в 2020 г. первыми участниками сообщества чата по фаззингу и его дальнейшее эволюционирование в официальную систему чатов [2] по вопросам безопасной разработки под эгидой Центра компетенций.
  • Разработка и ввод в действие в 2020 г. новой редакции Методики, требующей в том числе анализа интерпретаторов. Знаковое событие для сплочения сообщества!
  • Серия встреч сообщества в 2021 г. на базе "Лаборатории Касперского", "Кода безопасности", ИВК/Базальт, "Фобос-НТ", обсуждение концепций совместной работы.
  • Запуск в 2021 г. "Линукс-центра" [3] и объединение отечественных "ядровиков".
  • Встреча сообщества с заместителем директора ФСТЭК России В.С. Лютиковым на полях конференции ISPRASOPEN 2021 и обсуждение парадигм совместной инженерной работы.
  • В 2022 г. "Линукс-центр" набирает обороты, параллельно начинается работа под эгидой Центра по критическим компонентам в отношении .NET 6, NodeJS, OpenSSL, Nginx, Lua.
  • В сентябре 2022 г. на базе ИУ10 МГТУ им. Баумана стартовал курс интенсивного обучения студентов – будущих сотрудников ФСТЭК России и компаний-лицензиатов актуальным практикам безопасной разработки и анализа в парадигме Центра компетенций.
  • На ТБ Форуме 2023 прошла большая встреча сообщества в рамках SDL-дня [4], включавшая доклады, семинар, мастер-классы и много того, что называется модным словом "нетворкинг".
  • В мае 2023 г. опубликовано объединяющее соглашение [3] о консорциуме "Линукс-центра", с приглашением заинтересованных участников.

52714950028_1d4d810e04_c

Весной и летом 2023 г. география встреч расширилась за счет Санкт-Петербурга. Сообщество активно пополняется новыми экспертами, в их числе ведущие российские участники открытых проектов Postgres, Python и Lua.

Таким образом, менее чем за пять лет благодаря сочетанию системного подхода и личного энтузиазма участников ситуация разительно изменилась:

  • сформировался костяк сообщества, состоящий из разработчиков (в том числе конкурентов), чиновников, ученых, руководителей и исследователей, помогающих и верифицирующих друг друга при решении различных задач;
  • появился механизм эффективной совместной работы над обеспечением безопасности и качества открытого кода, находящегося в зоне неконкурентности;
  • сформировалась дружелюбная, открытая среда обмена знаниями и опытом в вопросах применения практик анализа и выстраивания процессов РБПО и освоения системных технологий;
  • появилась возможность верификации качества и ценности решений, технологий и услуг в области защиты информации и качественной разработки с опорой на опыт, отличный от транслируемого маркетологами и рекламщиками.

Постоянно растет число участников сообщества, делающих ставку на то, что честно внедренные процессы РБПО – это в первую очередь "для себя", а не "ради регулятора", а безопасная и качественная разработка – это конкурентное преимущество XXI века!


 

Темы:ИСП РАНФСТЭКБезопасная разработкаЖурнал "Информационная безопасность" №3, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Управление уязвимостями: ожидание – реальность и рекомендации
    Сергей Уздемир, заместитель генерального директора по ИТ, АЛТЭКС-СОФТ
    ФСТЭК России разработала и утвердила методический документ по организации управления уязвимостями (VM), который устанавливает цикл этапов работ по VM. Излагаемые в нем подходы универсальны для любых организаций и тесно пересекаются с зарубежными стандартами, в частности с ISO/IEC 27002, Control 8.8 – Management of Technical Vulnerabilities.
  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.
  • Сертификация СЗИ – курс на РБПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта.
  • 50 лет ФСТЭК России
    18 декабря исполняется 50 лет со дня основания Гостехкомиссии СССР, которая в 2004 г. стала называться ФСТЭК России. Редакция журнала “Информационная безопасность” задала вопросы экспертам рынка, чтобы вместе рассмотреть важные вехи проходимого пути.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать