Контакты
Подписка 2024

Сертификация СЗИ – курс на РБПО

Дмитрий Пономарев, 19/12/23

Середину 2010-х гг. многие заявители, сертифицировавшие свои продукты во ФСТЭК России, описывают короткой фразой "Не было печали".

Автор: Дмитрий Пономарев, заместитель генерального директора – директор департамента внедрения и развития РБПО НТЦ “Фобос-НТ”, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э.Баумана

События 2014 г. создали положительный импульс для разработки отечественных решений – предвестник текущего курса на импортозамещение и технологическую независимость. Требования регулятора в основном сконцентрированы на реализации определенных функций, что позволяет не перестраивать процессы разработки, а всего лишь дополнять бэклог новыми задачами понятного разработчикам типа. БДУ ФСТЭК только зарождается, равно как и культура контроля наличия известных уязвимостей в сторонних для СЗИ компонентах, а требования по обязательной (и, что немаловажно, бесплатной в части устранения известных уязвимостей на протяжении срока действия заветного сертификата) поддержке клиентов еще не введены приказом No 131. Взаимоотношения экспертов с программистами слегка омрачаются необходимостью выполнения ряда процедур из серии "вставка датчиков в исходный код" при испытаниях на высокие уровни НДВ, которые, однако, даже если их удалось выполнить, а не просто сэмулировать результаты, никак не влияют на итоговый результат испытаний и воспринимаются как неизбежный, но в конечном итоге безвредный ритуал.

В этот более-менее понятый и принятый участниками процесс как гром среди ясного неба врываются 2018 год и разработка ФСТЭК России Требований Доверия и Методики ВУ и НДВ. Мне сильно повезло (стаж работы в испытательной лаборатории составлял менее четырех месяцев) оказаться на всех совещаниях на Старой Басманной по обсуждению первой версии Методики. Я хорошо помню глубокий шок общественности, в процессе встреч осознающей перспективу многократного увеличения работ как количественно, так и качественно. Навсегда запомнился и первый поток первой программы курсов ФСТЭК на базе ИСП РАН по освоению Методики: 12 дней рассказов про компиляторы, эмуляторы и инструментирование для 22 курсантов, некоторые из которых ни разу в жизни не работали в консольном Linux, а в Python знали команду print и терялись в догадках: "Что за зверь такой, классы в языке программирования?" Отдельным "подарком" оказалось и первое в истории решение на проведение испытаний по новой Методике, которое досталось "Лаборатории Касперского" и нашей испытательной лаборатории – на момент его выдачи даже в Open Source не было рабочего фаззера для JavaScript, но поверхность атаки на СЗИ была написана как раз на нем.

"Ревущие двадцатые годы" сменились 2021 г., в котором уже значительной массе лицензиатов стало ясно: продвигаемая ФСТЭК России парадигма "сначала РБПО – потом сертификация" не только жизнеспособна, но и, с учетом вызовов времени, системно правильна. Наиболее прозорливые компании начали осознавать два важных факта:

  • РБПО – это про качество кода и процессов в компании, а не только про безопасность;
  • РБПО – это конкурентное преимущество XXI века.

Из представителей этих компаний и начало формироваться сообщество Центра компетенций ФСТЭК России и ИСП РАН, краткая история которого изложена в предыдущем номере журнала.

52714900420_0fd3feceeb_c

На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта. Запрос на РБПО-специалистов огромен. Я регулярно помогаю проводить собеседование на данную позицию – готовых свободных специалистов на рынке практически нет. Под эгидой ТК 362 разрабатывается целый комплекс новых ГОСТов по различным видам анализа, ведется работа по глубокой модернизации ГОСТ 56939. На этом поле кипят нешуточные баталии, в разработке участвуют ведущие игроки рынка, в том числе с мировым именем, как теоретики, так и практики – зачастую прямые конкуренты, что, по общему мнению, однозначно способствует качеству и доверию к документам. Ни одна крупная ИБ-конференция, от ТБ Форума до OFFZONE, не обходится без обсуждения тематики РБПО. Формируется рынок услуг статического и динамического анализа, в том числе под эгидой участия в консорциуме Технологического центра анализа безопасности ядра Linux и критических компонентов.

Все вышеперечисленное вряд ли могло бы быть достигнуто без сочетания системности, настойчивости, самоотверженности и преданности общему делу небольшого коллектива сотрудников центрального аппарата ФСТЭК России.

Несмотря на определенную инертность ряда участников рынка в переходе к новой парадигме приоритета безопасной разработки, несмотря на вызовы и ограничения событий последних лет, Служба не только не отказалась от выбранного курса, но и добилась стабильного роста числа его сторонников. При знакомстве с новыми коллективами я все чаще слышу примерно следующее: "ФСТЭК – молодцы, заставляют нас делать тяжелое, но правильное дело!" И вряд ли эксперт ИЛ может услышать от своего визави более приятные слова: такая позиция разработчика – это практически залог успеха сертификации. Подводя итог, от имени всех коллективов, которые я представляю, хочу пожелать ФСТЭК России всяческих успехов на их нелегком, но столь значимом для безопасности нашей Родины и всех нас пути!

Темы:ФСТЭКБезопасная разработкаЖурнал "Информационная безопасность" №5, 2023РБПО

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.
  • 50 лет ФСТЭК России
    18 декабря исполняется 50 лет со дня основания Гостехкомиссии СССР, которая в 2004 г. стала называться ФСТЭК России. Редакция журнала “Информационная безопасность” задала вопросы экспертам рынка, чтобы вместе рассмотреть важные вехи проходимого пути.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Traffic Inspector Next Generation: NGFW, сертифицированный ФСТЭК России
    Александр Вишняков, руководитель проектов ООО “СМАРТ-СОФТ”
    Cертифицированный универсальный шлюз безопасности Traffic Inspector Next Generation FSTEC от российской компании "Смарт-Софт", надежное решение с хорошим потенциалом развития

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать