Контакты
Подписка 2025
Статьи по информационной безопасности

Об истории становления сообщества Центра компетенций ФСТЭК России и ИСП РАН

Дмитрий Пономарев, 10/08/23

В России активно действует сообщество Центра компетенций ФСТЭК России и ИСП РАН. Для меня эта история началась в 2018 г. и стала глубоко личной. Придя работать в испытательную лабораторию из сферы, не связанной с регуляторикой, я стал участником процессов, не все аспекты которых мне были понятны как на техническом уровне, так и на уровне идеи.

Автор: Дмитрий Пономарев, заместитель генерального директора – директор департамента внедрения и развития РБПО НТЦ “Фобос-НТ”, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э.Баумана

В числе основных вопросов, которые я задавал себе и своим руководителям, были следующие.

  1. Современные СЗИ вплоть до 100% состоят из компонентов с открытым исходным кодом, типовая сертификация, как правило, подразумевает исследования в отношении одной и той же кодовой базы. При этом требуемый объем работ превышает глубину и возможности любого конечного исследования, тем более полноценный анализ невозможен силами только испытательных лабораторий без процессов РБПО у разработчика.
  2. Разработчики и эксперты максимально атомизированы. Каждый варится в своем "котле", пытаясь делать, по сути, одну и ту же работу, наступая на одни и те же грабли. При этом, осознавая реально требуемый масштаб трудозатрат, как правило, выполняют ее в режиме "лишь бы получить сертификат".
  3. Неоднозначный набор практик и критериев анализа в отношении СЗИ современного масштаба в условиях реальных угроз. В качестве примера можно привести "вставку датчиков" – опытные специалисты хорошо ее помнят.
  4. Для разработчика процесс сертификации напоминает магический ритуал, в котором лаборатория выступает в роли шамана, проводящего заявителя к сертификату через тернии ей одной понятной нормативки. Это приводит к неприятию со стороны инженеров-разработчиков, ведь есть фундаментальная разница между "тяжело, но понятно" и "непонятно зачем". В первом случае результатом становится конструктивный процесс совместной работы, а во втором – желание поскорее "решить вопрос".

В это же время, в конце 2018 г., ФСТЭК России вела активную работу по системному развитию нормативно-правовой базы, и уже к середине 2019 г. были введены в действие два основополагающих документа, неформально известных как "Требования доверия" и "Методика НДВ". На мой взгляд это событие заложило фундамент для формирования сообщества. Отметим и другие значимые вехи.

  • В мае 2019 г. прошли первые курсы ФСТЭК России на базе ИСП РАН. Сертификационная общественность внезапно осознала, что в стране и в Институте в частности созданы и развиваются технологии [1] анализа мирового уровня, а современная сертификация – это в первую очередь "про и для инженеров".
  • Открытые пилотные испытания по Методике на базе "Лаборатории Касперского" и "Кода Безопасности" с инструментальной и методической поддержкой ИСП РАН.
  • Создание в 2020 г. первыми участниками сообщества чата по фаззингу и его дальнейшее эволюционирование в официальную систему чатов [2] по вопросам безопасной разработки под эгидой Центра компетенций.
  • Разработка и ввод в действие в 2020 г. новой редакции Методики, требующей в том числе анализа интерпретаторов. Знаковое событие для сплочения сообщества!
  • Серия встреч сообщества в 2021 г. на базе "Лаборатории Касперского", "Кода безопасности", ИВК/Базальт, "Фобос-НТ", обсуждение концепций совместной работы.
  • Запуск в 2021 г. "Линукс-центра" [3] и объединение отечественных "ядровиков".
  • Встреча сообщества с заместителем директора ФСТЭК России В.С. Лютиковым на полях конференции ISPRASOPEN 2021 и обсуждение парадигм совместной инженерной работы.
  • В 2022 г. "Линукс-центр" набирает обороты, параллельно начинается работа под эгидой Центра по критическим компонентам в отношении .NET 6, NodeJS, OpenSSL, Nginx, Lua.
  • В сентябре 2022 г. на базе ИУ10 МГТУ им. Баумана стартовал курс интенсивного обучения студентов – будущих сотрудников ФСТЭК России и компаний-лицензиатов актуальным практикам безопасной разработки и анализа в парадигме Центра компетенций.
  • На ТБ Форуме 2023 прошла большая встреча сообщества в рамках SDL-дня [4], включавшая доклады, семинар, мастер-классы и много того, что называется модным словом "нетворкинг".
  • В мае 2023 г. опубликовано объединяющее соглашение [3] о консорциуме "Линукс-центра", с приглашением заинтересованных участников.

52714950028_1d4d810e04_c

Весной и летом 2023 г. география встреч расширилась за счет Санкт-Петербурга. Сообщество активно пополняется новыми экспертами, в их числе ведущие российские участники открытых проектов Postgres, Python и Lua.

Таким образом, менее чем за пять лет благодаря сочетанию системного подхода и личного энтузиазма участников ситуация разительно изменилась:

  • сформировался костяк сообщества, состоящий из разработчиков (в том числе конкурентов), чиновников, ученых, руководителей и исследователей, помогающих и верифицирующих друг друга при решении различных задач;
  • появился механизм эффективной совместной работы над обеспечением безопасности и качества открытого кода, находящегося в зоне неконкурентности;
  • сформировалась дружелюбная, открытая среда обмена знаниями и опытом в вопросах применения практик анализа и выстраивания процессов РБПО и освоения системных технологий;
  • появилась возможность верификации качества и ценности решений, технологий и услуг в области защиты информации и качественной разработки с опорой на опыт, отличный от транслируемого маркетологами и рекламщиками.

Постоянно растет число участников сообщества, делающих ставку на то, что честно внедренные процессы РБПО – это в первую очередь "для себя", а не "ради регулятора", а безопасная и качественная разработка – это конкурентное преимущество XXI века!

 
Темы:ИСП РАНФСТЭКБезопасная разработкаЖурнал "Информационная безопасность" №3, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • О безопасности заимствованных компонентов Open Source
    Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения, ведущий научный сотрудник ФГБУН “ИСП РАН”
    Open Source стал неотъемлемой частью современного мира. Сегодня уже нет необходимости объяснять, что это такое, – с этим явлением все давно свыклись и приняли его как данность. Однако возникает другой вопрос: как эффективно и зрело работать с Open Source?
  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"