Новости / февраль 2022
Сразу два шага вперед

ФСТЭК запланировала на конец 2024 г. запуск доверенной среды разработки приложений для работы на объектах критической информационной инфраструктуры (КИИ). Задачей такой платформы станет защита от программных закладок и уязвимостей.
© ComNews
21.02.2022

На портале Единой информационной системы в сфере закупок размещена заявка на проведение конкурса на выполнение работ по созданию унифицированной среды безопасной разработки отечественного программного обеспечения. Начальная сумма на выполнение работ составляет 511 млн руб. Целями платформы, согласно техническому заданию, являются снижение возможных социально-экономических последствий от реализации компьютерных атак на критическую информационную инфраструктуру Российской Федерации за счет повышения уровня информационной безопасности отечественного программного обеспечения, связанного с внедрением методологии обеспечения жизненного цикла безопасного программного обеспечения (далее - ПО) и набора инструментов, обеспечивающих эту методологию; повышение качества отечественного ПО за счет повышения уровня зрелости отечественных разработчиков в части внедрения процессов и технологий разработки безопасного ПО; совершенствование отечественных средств разработки безопасного ПО; повышение квалификации специалистов, задействованных при разработке отечественного ПО; совершенствование нормативного и методического обеспечения процессов разработки безопасного ПО в Российской Федерации.

Такие системы в настоящее время если и существуют, то только на уровне отдельных компаний. Так, по данным исследования Posotive Technologies, проведенного осенью 2021 г., методологию DevSecOps используют 36% российских разработчиков. При этом данное направление названо одним из тех, где отрасль ИБ ожидает серьезного роста практического интереса (см. новость ComNews от 27 декабря 2021 г.). В немалой степени росту интереса к технологиям безопасной разработки будет способствовать и политика регуляторов, в первую очередь ФСТЭК. Так, на конференции OS Day 2021 заместитель директора ФСТЭК Виталий Лютиков объявил о создании совместно с ИСП РАН Центра исследований безопасности ядра Linux, запуск которого в промышленную эксплуатацию запланирован на 2023 г. (см. новость ComNews от 18 октября 2021 г.).

Президент НП "РУССОФТ" Валентин Макаров напоминает, что создание доверенной среды разработки ПО было одним из приоритетов рабочей группы "Сейфнет" Национальной технологической инициативы, наряду с доверенным ПО и доверенной аппаратной частью. По-другому, по его мнению, и не построить интегрированную безопасность (то, что называется secure by design) - основу нового технологического уклада.

По оценке руководителя отдела аналитики "СерчИнформ" Алексея Парфентьева, к разработчикам решений предъявляются довольно серьезные требования (и к самому коду, и к условиям его разработки), но оценивают их выполнение не они сами, а испытательные лаборатории, которые и выполняют проверки на недекларируемые возможности, проводят фаззинг, динамические и статические анализы и прочие проверки, что часто создает сложности. "Камень преткновения в том, что ни у лабораторий, ни у разработчиков нет единого стандарта, на какой платформе программы должны создаваться и впоследствии проверяться. Реализовать это сложно, ведь речь и про безопасные компиляторы, и про платформу интегрированной разработки, и про языковую либо архитектурную кроссплатформенность, и про инструменты фаззинга, и про статический анализ кода, и про динамический анализ утечек из памяти. Если проект будет реализован, то разработчики смогут работать в доверенной среде. На деле - время покажет, насколько популярна и удобна будет такая среда для разработчиков. ФСТЭК хочет предоставить разработчикам прикладной инструмент, используя который, можно не переживать о безопасности своего софта", - говорит он.

Заместитель генерального директора ГК Astra Linux Юрий Соснин напоминает, что еще с 2018 г. ФСТЭК стала уделять самое пристальное внимание не только продуктам как таковым, но и самому процессу, а точнее сложившейся у вендоров системе разработки и тестирования программного обеспечения, предъявляя к ним вполне конкретные требования, нарастающие по мере увеличения уровня доверия ИТ-продукта (чем выше данный уровень, тем требования значительно более жесткие - первый уровень существенно выше четвертого). Таким образом, по мнению Юрия Соснина, информационная безопасность сегодня - это не только формальное подтверждение соответствия заявленных разработчиком средств защиты и функций требованиям безопасности информации. С момента вступления требований доверия - это еще и контроль соответствия самого процесса разработки, а также обеспечение качества средств защиты информации в ПО.

Директор по безопасности "МойОфис" Александр Буравцов уверен, что инициатива ФСТЭК направлена на унификацию подходов к методологии оценки цикла безопасной разработки программного обеспечения в рамках оценки соответствия программных продуктов требованиям по информационной безопасности (сертификации). "Отрадно видеть, что основной регулятор озабочен решением вопросов информационной безопасности в прикладном ПО, которые является основой для функционирования объектов КИИ", - отмечает он.

Валентин Макаров информирует, что сейчас параллельно идет процесс создания такой среды под эгидой нескольких ведомств, так что именно в области создания доверенной среды программирования Россия может быть достойным конкурентом за лидерство в новом технологическом укладе.

Заместитель директора по инновационным рынкам "Рексофт" Игорь Кравченко считает, что нужно глубоко изучать состав платформы, но если она позволит повысить информационную безопасность создаваемых информационных систем и снизить затраты на разработку систем защиты информации, то идея выглядит целесообразно: "По опыту "Рексофт" скажу, что создание сложных информационных систем, в полной мере отвечающих требованиям ФСТЭК по ИБ в части критической информационной инфраструктуры, государственных информационных систем и содержащих персональные данные, сложный и трудоемкий процесс. Будет крайне полезно, если среда предоставит рабочие средства, которые смогут быть использованы при построении информационных систем с высокими требованиями по информационной безопасности".

GR-специалист UserGate Карен Карапетьянц также считает, что защиты от атак на систему извне уже мало: "Программные закладки и бэкдоры появляются еще на этапе разработки, и ФСТЭК России в настоящее время уже научилась бороться с ними путем анализа исходного кода при сертификации средств защиты информации. Однако остается проблема попадания исходного кода или его кусков в злые руки еще на этапе его создания - через компиляторов и среду разработки. Подобное решение может помочь решить эту проблему, которая пока не носит катастрофического характера - однако наверняка нам это неизвестно, - но вполне будет иметь место в недалеком будущем. В попытке уйти от иностранного влияния создаются свои процессоры, радиоэлектроника, операционные системы. Разработка подобных вещей небезопасными средствами оставляет уязвимость, и, видимо, эта система ее и решит".

Юрий Соснин уверен, что использование такой платформы позволит разрешить целый ряд сложностей, которые каждая из компаний-разработчиков не в состоянии разрешить своими силами: "Помимо желания и компетенций, которые позволяют выпускать продукты, разработчик должен привлечь немалые инвестиции для создания и поддержания соответствующей инфраструктуры, подразумевающие наличие серьезных вычислительных мощностей, дорогих программ управления проектами и тестирования кода. По факту же это удается не всем и, скажем так, склоняет компании к имитации и потемкинским деревням, а не к реальному обеспечению процесса разработки безопасного программного обеспечения. Идея создания такой универсальной среды объясняется необходимостью предоставления любому разработчику возможности получить машино-часы на тестирование и другие операции, связанные с созданием продуктов. И избавить его от того, чтобы на старте вкладываться временем и деньгами в формирование сложной инфраструктуры. Мы обязательно будем использовать эту среду. Какие-то из процессов будем продолжать реализовывать на своей базе, какие-то переведем туда. Распределить процесс контроля качества - значит ускорить выход продуктов".

Александр Буравцов также полагает, что создание такой платформы позволит повысить защищенность ПО от ошибок и уязвимостей: "Безусловно, требования необходимости наличия практик безопасной разработки программного обеспечения у компаний-разработчиков существуют и сейчас, но они относятся только к средствам защиты информации и прикладному ПО со встроенными механизмами безопасности. Поэтому такие требования не покрывают достаточно большое число прочих прикладных программных продуктов, в том числе используемых для КИИ. Кроме того, процедура оценки соответствия таким требованиям, в том числе оценка результатов работы автоматизированных средств контроля, находится в ведении достаточно большого количества юридических лиц - испытательных лабораторий, которые сейчас по факту и занимаются технической частью работ по проверке свойств безопасности решений".

Вместе с тем, как предупредил представитель "МойОфис", разработчикам такой платформы придется решать много сложных задач. "Поддержка и обслуживание процессов безопасной разработки программного обеспечения, включая средства инструментального контроля - статические анализаторы, динамические анализаторы, фаззинг-тестирование и т.д., - крайне сложная и ресурсоемкая задача, которая требует высокой квалификации персонала. Специалисты должны обладать не только экспертными знаниями в области информационной безопасности, но и хорошо разбираться в особенностях работы с исходным кодом конкретных продуктов. Также для работы таких инструментов обязательно наличие доступа к полному объему актуальных версий исходного кода программных продуктов. "МойОфис" решает эти вопросы за счет совместной работы наших инженеров и сотрудников испытательных лабораторий при подготовке продукта к сертификации. Как предполагается решать данные вопросы при использовании новой платформы - пока не очень понятно", - говорит Александр Буравцов.

Карен Карапетьянц считает, что практически неизбежны и разного рода "детские болезни", устранение которых потребует времени: "Свои минусы у этого тоже есть, как, например, "сырость" на начальных этапах, нехватка специалистов, отсутствие интереса. Первые лет 5-10 придется подстраиваться под эту систему, переводить имеющиеся программные средства под работу с такой средой разработки, наработать опыт и т.д. Обязательность среды разработки сразу после ее создания - удар, однако с точки зрения стратегической безопасности - это два шага вперед".

CIO интернет-агентства "Альянс+" Сергей Кондратенко также обращает внимание, что использование подобного инструмента может вызвать не только косвенные сложности, ввиду обязательств, наложенных государством, на разработку ПО для своих нужд только в этой среде, но и ряд технических проблем - например, очень высокий стандарт оценки ПО, который "задушит" средние и мелкие проекты.

Алексей Парфентьев считает, что сложности при использовании данной платформы возможны в двух случаях: "Во-первых, это тогда, когда у софтверной компании на данный момент процесс не отстроен с точки зрения безопасности, и требования регулятора своими силами не выполняются. А процесс безопасной разработки предполагает многое из того, что планируется реализовать в рамках проекта. Для ответственных разработчиков в правилах, по которым она будет работать, не будет ничего нового. Как минимум те, кто регулярно проходит сертификацию ФСТЭК, хорошо знакомы с этими требованиями. Остальным придется привыкать работать по-новому. Вторая ситуация - если подведет реализация самой доверенной среды, все-таки требования ТЗ - это одно, а фактическое исполнение - совсем другое. В таком случае использование такого продукта прибавит разработчикам головной боли".

Валентин Макаров не исключает, что разработчикам прикладных решений придется приспосабливаться к тому, что встроенная функция проверки доверенности не позволит реализовывать некоторые идеи и преобразует их таким образом, чтобы не нарушать требований безопасности, и на то, чтобы разрешить эту коллизию, потребуется некоторое время.

Новости из связанных рубрик