Дмитрий Пономарев, 19/12/23
Середину 2010-х гг. многие заявители, сертифицировавшие свои продукты во ФСТЭК России, описывают короткой фразой "Не было печали".
Автор: Дмитрий Пономарев, заместитель генерального директора – директор департамента внедрения и развития РБПО НТЦ “Фобос-НТ”, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э.Баумана
События 2014 г. создали положительный импульс для разработки отечественных решений – предвестник текущего курса на импортозамещение и технологическую независимость. Требования регулятора в основном сконцентрированы на реализации определенных функций, что позволяет не перестраивать процессы разработки, а всего лишь дополнять бэклог новыми задачами понятного разработчикам типа. БДУ ФСТЭК только зарождается, равно как и культура контроля наличия известных уязвимостей в сторонних для СЗИ компонентах, а требования по обязательной (и, что немаловажно, бесплатной в части устранения известных уязвимостей на протяжении срока действия заветного сертификата) поддержке клиентов еще не введены приказом No 131. Взаимоотношения экспертов с программистами слегка омрачаются необходимостью выполнения ряда процедур из серии "вставка датчиков в исходный код" при испытаниях на высокие уровни НДВ, которые, однако, даже если их удалось выполнить, а не просто сэмулировать результаты, никак не влияют на итоговый результат испытаний и воспринимаются как неизбежный, но в конечном итоге безвредный ритуал.
В этот более-менее понятый и принятый участниками процесс как гром среди ясного неба врываются 2018 год и разработка ФСТЭК России Требований Доверия и Методики ВУ и НДВ. Мне сильно повезло (стаж работы в испытательной лаборатории составлял менее четырех месяцев) оказаться на всех совещаниях на Старой Басманной по обсуждению первой версии Методики. Я хорошо помню глубокий шок общественности, в процессе встреч осознающей перспективу многократного увеличения работ как количественно, так и качественно. Навсегда запомнился и первый поток первой программы курсов ФСТЭК на базе ИСП РАН по освоению Методики: 12 дней рассказов про компиляторы, эмуляторы и инструментирование для 22 курсантов, некоторые из которых ни разу в жизни не работали в консольном Linux, а в Python знали команду print и терялись в догадках: "Что за зверь такой, классы в языке программирования?" Отдельным "подарком" оказалось и первое в истории решение на проведение испытаний по новой Методике, которое досталось "Лаборатории Касперского" и нашей испытательной лаборатории – на момент его выдачи даже в Open Source не было рабочего фаззера для JavaScript, но поверхность атаки на СЗИ была написана как раз на нем.
"Ревущие двадцатые годы" сменились 2021 г., в котором уже значительной массе лицензиатов стало ясно: продвигаемая ФСТЭК России парадигма "сначала РБПО – потом сертификация" не только жизнеспособна, но и, с учетом вызовов времени, системно правильна. Наиболее прозорливые компании начали осознавать два важных факта:
- РБПО – это про качество кода и процессов в компании, а не только про безопасность;
- РБПО – это конкурентное преимущество XXI века.
Из представителей этих компаний и начало формироваться сообщество Центра компетенций ФСТЭК России и ИСП РАН, краткая история которого изложена в предыдущем номере журнала.
На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта. Запрос на РБПО-специалистов огромен. Я регулярно помогаю проводить собеседование на данную позицию – готовых свободных специалистов на рынке практически нет. Под эгидой ТК 362 разрабатывается целый комплекс новых ГОСТов по различным видам анализа, ведется работа по глубокой модернизации ГОСТ 56939. На этом поле кипят нешуточные баталии, в разработке участвуют ведущие игроки рынка, в том числе с мировым именем, как теоретики, так и практики – зачастую прямые конкуренты, что, по общему мнению, однозначно способствует качеству и доверию к документам. Ни одна крупная ИБ-конференция, от ТБ Форума до OFFZONE, не обходится без обсуждения тематики РБПО. Формируется рынок услуг статического и динамического анализа, в том числе под эгидой участия в консорциуме Технологического центра анализа безопасности ядра Linux и критических компонентов.
Все вышеперечисленное вряд ли могло бы быть достигнуто без сочетания системности, настойчивости, самоотверженности и преданности общему делу небольшого коллектива сотрудников центрального аппарата ФСТЭК России.
Несмотря на определенную инертность ряда участников рынка в переходе к новой парадигме приоритета безопасной разработки, несмотря на вызовы и ограничения событий последних лет, Служба не только не отказалась от выбранного курса, но и добилась стабильного роста числа его сторонников. При знакомстве с новыми коллективами я все чаще слышу примерно следующее: "ФСТЭК – молодцы, заставляют нас делать тяжелое, но правильное дело!" И вряд ли эксперт ИЛ может услышать от своего визави более приятные слова: такая позиция разработчика – это практически залог успеха сертификации. Подводя итог, от имени всех коллективов, которые я представляю, хочу пожелать ФСТЭК России всяческих успехов на их нелегком, но столь значимом для безопасности нашей Родины и всех нас пути!
