24 сентября 2021 года в Москве состоялся BIS Summit-2021, участие в котором приняла Наталья Касперская. Форум в четырнадцатый раз собрал представителей сообщества, занятого информационной безопасностью (ИБ). Организатором форума уже много лет является некоммерческая ассоциация профессионалов в области информационной безопасности BISA (Business Information Security Association).
Традиционно одна из пленарных дискуссий BIS Summit посвящена диалогу с регуляторами
Организаторы BIS Summit 2021 не стали изменять традициям и пригласили на сцену для участия в панельной дискуссии «КИБЕРУСТОЙЧИВОСТЬ ЦИФРОВОГО МИРА» заместителя министра цифрового развития, связи и массовых коммуникаций РФ Александра Шойтова, заместителя директора ФСТЭК Виталия Лютикова, а также Виктора Минина, председателя правления АРСИБ.
Модератором выступила Наталья Касперская, президент ГК InfoWatch, председатель правления АРПП «Отечественный софт», которая задала первый вопрос: «Чего нам всем стоит ждать от регуляторов?».
Минцифры ждет государственно-частных механизмов
Александр Шойтов в своем ответе сконцентрировался на развитии положений раздела ИБ в рамках «Стратегии национальной безопасности Российской Федерации», принятой Указом Президента РФ 02.07.2021.
Он отметил: «Пять из шести пунктов раздела, посвященному информационной безопасности, относительно типовые. Но задачи, которые придется решать в их рамках, новые: это работы, связанные Национальным Удостоверяющим Центром, со встраиванием отечественных криптографических приложений, с предотвращением деструктивного информационно-технического воздействия на российские информационные ресурсы, включая объекты критической информационной инфраструктура (КИИ), где активно проходит процесс импортозамещения. Что касается раздела “Научно-технологическое развитие”, то он устроен немного по-другому. Здесь угрозы ИБ явно не перечислены. Но зато, он говорит о необходимости быстрого развития и внедрения средств ИБ. Я вижу, что это перспективное направление для появления государственно-частных механизмов развития и совершенствования нормативно-правовых актов в области информационной безопасности».
Кроме того, спикер ожидает изменений в ФЗ-152, которые будут направлены на введение регулирования оборота обезличенных персональных данных, необходимых для работы сервисов с использованием искусственного интеллекта (ИИ). Проблему Александр Шойтов видит в том, что в рамках стратегии национально технологического развития ответственность за исполнение различных направлений развития разделена между разными ведомствами. Это порой приводит к тому, что в ущерб ИБ приоритетом становится скорость разработок. Над решением этой проблемой необходимо работать!
ФСТЭК за методологию безопасной разработки
Виталий Лютиков получил от модератора вопрос, касающийся того, планирует ли ФСТЭК ускорить процедуру сертификации решений?
«Во-первых, имеется некоторое увеличение количества заявок, но мы пока не видим “вала заявок”. Во-вторых, у нас есть статистика по загруженности лабораторий, проводящих испытаний. Это то самое “узкое горлышко” в наших процессах, которое расшивается более оптимальным распределением загрузки лабораторий и некоторым увеличением их количества. И, наконец, многое зависит от готовности заявителя при выходе на сертификацию», — дал свой ответ Виталий Лютиков.
В ходе дальнейшего выступления спикер подробнее раскрыл суть последнего своего тезиса в свете практики применения рекомендаций Службы о применении Стандартов безопасной разработки, которые были выпущены в 2016 году и получили развитие в виде проверки применения ряда процедур в 2018 году. Соблюдение этих правил снижает скорость испытаний «в разы».
Что это за процедуры применительно к ИБ-решениям? Во-первых, это моделирование угроз. Во-вторых, управление требованиями и документацией. В-третьих, проведение различных видов тестирования: функционального, поиск уязвимостей, недекларируемых возможностей и, наконец, поддержка безопасности управления изменениями.
Опыт ФСТЭК говорит, без исполнения этого набора требований разработка средств безопасности для информационных систем федерального уровня затруднительна, особенно если используется ПО на основе открытого исходного кода или заимствованных компонентов. У разработчика попросту может не хватить компетенций и ресурсов для устранения выявленных в ходе эксплуатации сертифицированного средства уязвимостей.
«Что касается сокращения сроков сертификации за счет оптимизации бюрократических процедур, то мы сейчас активно проводим соответствующую работу. Например, подготовлен ряд изменений в Положение о сертификации, которые на 30-40% сократят время проведения испытаний за счет исключения отдельных процедур. В частности, изменения затронут порядок “Предварительного ознакомления”. Плюс к этому прорабатывается вопрос о снижении издержек разработчиков, возникающие из-за необходимости сертификационных испытаний после внесения изменений в продукты. Это стало актуальным из-за широкого распространения методов непрерывной разработки ПО, например, Agile. В выигрыше должны остаться те, кто внедрил Стандарты безопасной разработки ПО. До конца 2021 года ФСТЭК должна внести предложение по корректировке соответствующих нормативных документов», — подытожил Виталий Лютиков.
Кроме того, все новшества ФСТЭК открыто обсуждает в рамках технического комитета по стандартизации №362. Сейчас в его рамках совместно с заинтересованными ведомствами разрабатывается несколько методологических стандартов, касающихся безопасной разработки ПО.
АРСИБ требует обучать культуре ИБ
Виктор Минин получил следующий вопрос от модератора: «Как с точки зрения ассоциации АРСИБ цифровизация повлияла на ИБ?».
«Весь мир сейчас стремиться к открытости и прозрачности. Это приводит к некоей дилемме. С одной стороны, граждане выкладывают о себе в социальных сетях практически всё. А, с другой стороны, эти же люди требуют от государства защиты своих персональных данных. В итоге существует и цифровой двойник граждан в защищенных государственных системах, и оригинал — в открытом доступе. Это является причиной множества проблем, появившихся в ходе первого этапа цифровизации», — заметил Виктор Минин.
Последующие этапы цифровизации, по мнению спикера, принесли понимание того, что регулирование тотально не успевает за темпами инноваций. Причем многие сервисы создаются программистами бездумно по причине отсутствия у них ментальности безопасной разработки, что позволило нападающей стороне получить преимущество. Печальное следствие этого процесса заключается в том, что встраивать механизмы безопасности часто приходится буквально на ходу, и многие при этом начинают воспринимать ИБ в качестве тормоза процессов цифровизации. Поэтому — первое, что нужно делать: обучать основам и культуре ИБ и разработчиков, и некоторых чиновников, и молодежь, и общество в целом. Особая роль в этом, по мнению спикера, лежит на возможном «альянсе бизнеса и школы подготовки специалистов».
Некоторые выводы
После выступления с трибуны данных экспертов состоялась содержательная сессия вопросов и ответов, в финале которой Наталья Касперская подвела некоторые выводы дискуссии, с которыми согласились все.
В частности, она сказала: «Требование о внедрении стандарта безопасной разработки ПО во всех государственных информационных системах постепенно находит понимание в среде разработчиков средств информационной безопасности. Необходимо ускорить и расширить обучение кадров, сделав привязку данного процесса к реальным технологиям. Сделать это, наверное, возможно при условии создания связки между IT-компаниями и ВУЗами. Назрело решение вопроса о необходимости сертификации ИБ-специалистов по отечественным стандартам. Отдельно стоит вопрос о внедрении российских ИБ-систем во все элементы КИИ. Что касается свободного ПО, использовать его надо, но оно должно быть каким-то образом проверено и иметь внутри нашей страны сообщество разработчиков, которые имели бы компетенции по работе с ним».
Но это не всё, что отметила Наталья Касперская. Совместно с Виталием Лютиковым они сделали еще один вывод. О том, как они пришли к нему и в чем его смысл — в следующем посте в этом блоге.
