Об истории становления сообщества Центра компетенций ФСТЭК России и ИСП РАН

В России активно действует сообщество Центра компетенций ФСТЭК России и ИСП РАН. Для меня эта история началась в 2018 г. и стала глубоко личной. Придя работать в испытательную лабораторию из сферы, не связанной с регуляторикой, я стал участником процессов, не все аспекты которых мне были понятны как на техническом уровне, так и на уровне идеи.

Автор: Дмитрий Пономарев, заместитель генерального директора – директор департамента внедрения и развития РБПО НТЦ “Фобос-НТ”, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э.Баумана

В числе основных вопросов, которые я задавал себе и своим руководителям, были следующие.

1. Современные СЗИ вплоть до 100% состоят из компонентов с открытым исходным кодом, типовая сертификация, как правило, подразумевает исследования в отношении одной и той же кодовой базы. При этом требуемый объем работ превышает глубину и возможности любого конечного исследования, тем более полноценный анализ невозможен силами только испытательных лабораторий без процессов РБПО у разработчика.
2. Разработчики и эксперты максимально атомизированы. Каждый варится в своем "котле", пытаясь делать, по сути, одну и ту же работу, наступая на одни и те же грабли. При этом, осознавая реально требуемый масштаб трудозатрат, как правило, выполняют ее в режиме "лишь бы получить сертификат".
3. Неоднозначный набор практик и критериев анализа в отношении СЗИ современного масштаба в условиях реальных угроз. В качестве примера можно привести "вставку датчиков" – опытные специалисты хорошо ее помнят.
4. Для разработчика процесс сертификации напоминает магический ритуал, в котором лаборатория выступает в роли шамана, проводящего заявителя к сертификату через тернии ей одной понятной нормативки. Это приводит к неприятию со стороны инженеров-разработчиков, ведь есть фундаментальная разница между "тяжело, но понятно" и "непонятно зачем". В первом случае результатом становится конструктивный процесс совместной работы, а во втором – желание поскорее "решить вопрос".

В это же время, в конце 2018 г., ФСТЭК России вела активную работу по системному развитию нормативно-правовой базы, и уже к середине 2019 г. были введены в действие два основополагающих документа, неформально известных как "Требования доверия" и "Методика НДВ". На мой взгляд это событие заложило фундамент для формирования сообщества. Отметим и другие значимые вехи.

• В мае 2019 г. прошли первые курсы ФСТЭК России на базе ИСП РАН. Сертификационная общественность внезапно осознала, что в стране и в Институте в частности созданы и развиваются технологии [1] анализа мирового уровня, а современная сертификация – это в первую очередь "про и для инженеров".
• Открытые пилотные испытания по Методике на базе "Лаборатории Касперского" и "Кода Безопасности" с инструментальной и методической поддержкой ИСП РАН.
• Создание в 2020 г. первыми участниками сообщества чата по фаззингу и его дальнейшее эволюционирование в официальную систему чатов [2] по вопросам безопасной разработки под эгидой Центра компетенций.
• Разработка и ввод в действие в 2020 г. новой редакции Методики, требующей в том числе анализа интерпретаторов. Знаковое событие для сплочения сообщества!
• Серия встреч сообщества в 2021 г. на базе "Лаборатории Касперского", "Кода безопасности", ИВК/Базальт, "Фобос-НТ", обсуждение концепций совместной работы.
• Запуск в 2021 г. "Линукс-центра" [3] и объединение отечественных "ядровиков".
• Встреча сообщества с заместителем директора ФСТЭК России В.С. Лютиковым на полях конференции ISPRASOPEN 2021 и обсуждение парадигм совместной инженерной работы.
• В 2022 г. "Линукс-центр" набирает обороты, параллельно начинается работа под эгидой Центра по критическим компонентам в отношении .NET 6, NodeJS, OpenSSL, Nginx, Lua.
• В сентябре 2022 г. на базе ИУ10 МГТУ им. Баумана стартовал курс интенсивного обучения студентов – будущих сотрудников ФСТЭК России и компаний-лицензиатов актуальным практикам безопасной разработки и анализа в парадигме Центра компетенций.
• На ТБ Форуме 2023 прошла большая встреча сообщества в рамках SDL-дня [4], включавшая доклады, семинар, мастер-классы и много того, что называется модным словом "нетворкинг".
• В мае 2023 г. опубликовано объединяющее соглашение [3] о консорциуме "Линукс-центра", с приглашением заинтересованных участников.

Весной и летом 2023 г. география встреч расширилась за счет Санкт-Петербурга. Сообщество активно пополняется новыми экспертами, в их числе ведущие российские участники открытых проектов Postgres, Python и Lua.

Таким образом, менее чем за пять лет благодаря сочетанию системного подхода и личного энтузиазма участников ситуация разительно изменилась:

• сформировался костяк сообщества, состоящий из разработчиков (в том числе конкурентов), чиновников, ученых, руководителей и исследователей, помогающих и верифицирующих друг друга при решении различных задач;
• появился механизм эффективной совместной работы над обеспечением безопасности и качества открытого кода, находящегося в зоне неконкурентности;
• сформировалась дружелюбная, открытая среда обмена знаниями и опытом в вопросах применения практик анализа и выстраивания процессов РБПО и освоения системных технологий;
• появилась возможность верификации качества и ценности решений, технологий и услуг в области защиты информации и качественной разработки с опорой на опыт, отличный от транслируемого маркетологами и рекламщиками.

Постоянно растет число участников сообщества, делающих ставку на то, что честно внедренные процессы РБПО – это в первую очередь "для себя", а не "ради регулятора", а безопасная и качественная разработка – это конкурентное преимущество XXI века!

• https://www.ispras.ru/downloads/ISP_RAS_Catalogue_of_technologies_2022_ru.pdf 
• https://t.me/sdl_community/3676 
• https://portal.linuxtesting.ru/news.html#main 
• https://www.tbforum.ru/2023/program/sdl