Информационные технологии — одна из самых быстроразвивающихся отраслей на сегодняшний день. Стремительность изменений в области архитектуры программного обеспечения (ПО), языков программирования и кодирования ставят вопрос их безопасности и защищенности на первое место. Национальный стандарт Р 56939 «Защита информации. Разработка безопасного программного обеспечения» 2016 года уже признали устаревшим и на замену ему разработали проект нового ГОСТа. Документ опубликован на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК), его публичное обсуждение продлится до 15 февраля 2024 года.
От кода до исхода
В разработке нового стандарта участвовали специалисты ФСТЭК, Института системного программирования им. В.П. Иванникова, компаний «Лаборатория Касперского», «ИнфоТеКС», «Позитив Текнолоджиз», «РусБИТехАстра», «СберТех», научно-технического центра «Фобос-НТ», Центра безопасности информации и научно-производственного объединения «Эшелон».
Во вводной части 80-страничного документа указано, что он направлен «на достижение целей, связанных с предотвращением появления, выявлением и устранением уязвимостей и недекларированных возможностей в программном обеспечении». Стандарт содержит общие требования, предъявляемые к разработчикам программного обеспечения, и охватывает все процессы разработки безопасного ПО: от экспертизы исходного кода до вывода софта из эксплуатации.
Документ предназначен для разработчиков и производителей софта, а также для организаций, контролирующих соответствие результатов их деятельности национальному стандарту. Как говорится в пояснительной записке к проекту, принятие нового ГОСТа позволит повысить эффективность и качество разработки безопасного программного обеспечения.
Три-пять лет — уже вечность
За семь лет с момента принятия прежнего ГОСТа по защите информации «ландшафт» в программном обеспечении изменился довольно сильно, считает предприниматель, эксперт в сфере информационных технологий Игорь Ашманов.
«С 2016 года сменился набор языков программирования. Сейчас превалирующие языки совсем другие, чем были семь лет назад. Сменился и набор технологий, например, повысилась доля опенсорса с открытым исходным кодом. В таком ПО больше «дырок» для хакеров, что увеличивает долю рисков, которые несколько лет назад были не так актуальны», — заявил специалист в комментарии «Парламентской газете».
Зампред Комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов тоже отметил стремительное развитие информационных технологий, при котором «три-пять лет — это уже вечность».
«Сейчас и технологии, и разработки отечественного софта шагнули вперед, сильно поменялась инфраструктура тех или иных «железных» решений, подходы и требования к использованию продуктов разных производителей. Все это, я думаю, легло в основу нового стандарта по обеспечению безопасности», — пояснил «Парламентской газете» депутат.
По его словам, норматив стал гораздо более жесткий и продуманный. Пересмотр подходов и некоторых технических вещей в ИТ-сфере спровоцировали в том числе и санкции, поскольку инфраструктура, которая ранее считалась не опасной или не входила в число критически важной, перестала быть таковой, отметил Свинцов.