5 июня в Москве на площадке «ИнфоТеКС» состоялась конференция по безопасной разработке ПО, организованная Ассоциацией «Отечественный софт». На мероприятии специалисты рассмотрели актуальные нормативные требования к разработке безопасного ПО (РБПО), обменялись опытом применения и лучшими практиками становления процессов информационной безопасности.
Экспертами конференции стали представители ИСП РАН, Банка России, МГТУ им. Н.Э. Баумана, а также компаний-участников АРПП «Отечественный софт». Модератором Дня безопасной разработки выступил Роман Карпов, глава комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK. «День безопасной разработки ПО — это площадка для обмена накопленным опытом практического применения РБПО и дискуссий об актуальных нормативно-правовых актах регулирования отрасли. Мы заинтересованы в повышении информированности ИТ-компаний и накоплении базы знаний о процессах отечественной безопасной разработки», — обозначил цели мероприятия Роман Карпов.
Конференция открылась вступительным словом Рената Лашина, исполнительного директора АРПП «Отечественный софт». Глава Ассоциации отметил возрастающий интерес членов ИТ-объединения к РБПО: «АРПП уже во второй раз проводит для своих участников мероприятие, посвященное безопасной разработке ПО. Первая конференция на эту тему — Kaspersky SDL Day — состоялась в декабре 2023 года. Темой безопасной разработки мы стали активно заниматься с 2022 года и заключили соглашение с ИСП РАН. В рамках этого сотрудничества члены Ассоциации имеют возможность работать с институтом на льготных условиях, в том числе, пользоваться инструментами разработки»
Сергей Акимов, заместитель генерального директора по спецпроектам и стандартизации ИнфоТеКС, приветствуя участников конференции, подчеркнул актуальность темы и особое внимание регуляторов к вопросам информационной безопасности, систематическую работу по созданию новых инициатив и инструментов, обновлению существующих стандартов.
Центральной темой Дня разработки ПО стало обсуждение нового проекта ГОСТ Р №56939-2016 «Защита информации. Разработка безопасного программного обеспечения». Эксперты проанализировали отраслевые нормативные документы и технологические стандарты ИБ, отметив важность использования безопасной разработки при создании информационных систем и программных продуктов.
ИСП РАН и ФСТЭК России представили совместный доклад о ГОСТ по безопасной разработке. Вартан Падарян, ведущий научный сотрудник ИСП РАН, руководитель направления обратной инженерии бинарного кода, рассказал о вопросах регламентации ИБ. В своем выступлении эксперт назвал стандартизацию «наиболее эффективным механизмом регулирования», так как массовое участие экспертных организаций в данном процессе позволяет прийти к объективному и актуальному решению. Среди существующих стандартов Вартан Падарян выделил ГОСТ, технологические и отраслевые требования. Важность комплексной ориентации на ряд стандартов эксперт назвал основной задачей, стоящей перед ИБ-отраслью: «Наша задача не совершенствовать бизнес-процессы отдельно взятой организации. Наша конечная задача сделать так, чтобы выпускалось и эксплуатировалось безопасное ПО. В этом случае важно смотреть на факторы, которые влияют на сам результат — какие люди участвуют в разработке, что они понимают или не понимают в части используемых языков, как между ними построено взаимодействие, защищена ли инфраструктура, на которой идет разработка, какие средства сбора и анализа используются». Эксперт также определил планы развития инструментов разработки безопасного ПО. Одной из целей для дальнейшей работы Вартан Падарян обозначил формирование уровней, определяющих зрелость каждого отдельного сертифицируемого предприятия, внедрившего практики ИБ-разработки.
Анастасия Сакулина, консультант отдела информационной безопасности и киберустойчивости финансовых технологий Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России, выступила с докладом о «Профиле защиты» — документе Банка России, в котором зафиксирована методология безопасной разработки. Эксперт подробно рассказала об изменениях в обновленной редакции «Профиля защиты»: «Мы переформатировали подход, основанный до этого на оценочном уровне доверия. Теперь можно говорить о переходе к требованиям по организации процесса безопасной разработки при выборе конкретных требований по ИБ с учетом реальных рисков, специфики разработки и функционирования продукта». Среди новых целей в «Профиле защиты» теперь зафиксированы: быстрая разработка в условиях изменяющихся требований и обеспечение ИБ как неотъемлемой части процесса создания ПО. Спикер акцентировала внимание на важности присутствия «офицеров ИБ и секьюрити-чемпионов» в команде разработчиков. В числе ожидаемых эффектов от внедрения безопасной разработки Анастасия Сакулина назвала коллегиальное принятие решений в отношении рисков ИБ, уменьшение стоимости и повышение скорости исправления уязвимостей.
О показателях и критериях безопасности ПО рассказал Алексей Сабанов, доктор технических наук, профессор МГТУ им. Н.Э. Баумана, главный эксперт НТК ТИО АО НИИАС. «Безопасность трудно измерить, но у нас есть измерение надежности, есть измерение достоверности. Оно определяется по уровню. Если мы определим, на сколько уровней мы разделим соответствие требованиям ИБ, то сможем говорить об оценке безопасности софта. Но все зависит от системы, ее назначения», — отметил эксперт. Как наиболее показательные параметры безопасности Алексей Сабанов выделил обеспечение целостности, защиту от НСД, отсутствие НДВ и известных уязвимостей.
Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения ИСП РАН, представил результаты исследования безопасности программных компонентов с открытым исходным кодом. Базовая идея работы заключалась в определении конкретного целевого компонента и формировании работы над систематическим процессом анализа безопасности ПО.
Практикой внедрения РБПО и подходами к реализации положений нормативных стандартов и становлению ИБ-процессов поделились эксперты компаний, участников Ассоциации «Отечественный софт». Анастасия Калугина, руководитель направления безопасной разработки и инфраструктуры «ИнфоТеКС», рассказала о методах и инструментах Security by Design в разработке. Николай Курочкин, начальник отдела сертификационных испытаний СЗИ «СФБ Лаб», представил доклад о практической пользе использования формальных моделей в процессе РБПО. Карина Нападовская, руководитель центра сертификации и соответствия стандартам «Лаборатории Касперского», поделилась опытом создания отраслевых стандартов в области безопасной разработки. Екатерина Рудина, руководитель группы аналитиков по ИБ «Лаборатории Касперского», посвятила выступление обзору национальных нормативных документов с точки зрения разработки конструктивно безопасных систем. Сас Арустамян, директор центра оценки соответствия и тестирования АО «НПО «Эшелон», говорил о практике внедрения и последующей модернизации процессов по РБПО в соответствии с регулярно обновляемыми стандартами. Сергей Трошкин, руководитель направления сертификации Positive Technologies рассказал о процессном подходе при разработке безопасного ПО. Представители отрасли сошлись во мнении о практической пользе и необходимости использования безопасной разработки в производстве программных продуктов, подчеркнув значимость экспертизы и комплексного подхода к РБПО.
Компании упомянутые в новости: ИнфоТеКС / БЕЛЛСОФТ / Лаборатория Касперского / Positive Technologies / ГК «Эшелон»
Возврат к списку