В конце октября ФСТЭК России провела большое совещание с представителями компаний-разработчиков СЗИ. Одной из тем обсуждения стали вопросы безопасной разработки программного обеспечения (БРПО) и их сертификации.
Эксперт Компании “Актив” Евгений Ларионов поделился некоторыми важными моментами встречи:
— Утвержден новый ГОСТ Р 56939-2024 по безопасной разработке, который вступает в силу с 20 декабря 2024 года.
— С 1 ноября этого года при подаче во ФСТЭК заявки на сертификацию необходимо предоставить перечень заимствованных компонент. Далее во ФСТЭК будет сформирован план испытаний таких компонент, и затем, после получения сертификата на продукт, регулятор направит план поддержки заимствованных компонент. Кроме того, уже в этом месяце должна появиться методика формирования перечней заимствованных компонент.
— Также установлены требования к анализу интерпретаторов, веб-серверов и серверов приложений. Согласно информационному письму ФСТЭК от 25.10.2024, в случае использования СЗИ для реализации функций безопасности или в составе поверхности атаки интерпретаторов, веб-серверов и серверов приложений из состава среды функционирования СЗИ, они должны быть сертифицированы по требованиям безопасности информации.
Кроме того, при включении в состав операционных систем таких несертифицированных компонент в технические условия на ОС должны быть внесены требования ко всем функциям по безопасности, содержащихся в указанных компонентах. Сами же компоненты должны пройти испытания по выявлению уязвимостей и НДВ, а также соответствовать требованиям, которые указаны в технических условиях.
Для всех иных СЗИ несертифицированные интерпретаторы, веб-сервера и сервера приложений проходят испытания в составе СЗИ в части задействования указанных компонентов при реализации функций по безопасности СЗИ или в поверхности атаки.
— Сертифицировать процессы безопасной разработки пока можно в одном органе — ИСП РАН (на данный момент уже выдан один сертификат, на очереди еще семь компаний). Сам процесс занимает около двух месяцев, но из-за большой загрузки начало работ может сильно сдвинуться (например, те, кто подает заявление сейчас, начнёт проходить испытания не раньше лета 2025 года).
— Процесс сертификации будет включать проверку документации по БРПО, интервьюирование персонала по теме внедрения процесса БРПО, а также испытание процессов на конкретном программном изделии (достаточно показать весь процесс от и до на одном продукте).
— Также были отмечены изменения в Приказ ФСТЭК России N17. В документ добавлены новые меры по защите информации, при этом большой акцент сделан на защиту от атак, направленных на отказ в обслуживании (anti-DDoS).