На Дне безопасной разработки программного обеспечения, организованном Ассоциацией разработчиков программных продуктов «Отечественный софт», заместитель начальника второго управления ФСТЭК России Ирина Гефнер сообщила, что более 90% всех сертифицированных средств защиты информации в стране содержат заимствованные программные модули с открытым исходным кодом. По её словам, такая практика характерна для 325 отечественных ИБ-продуктов, находящихся в реестре сертифицированных решений.
Федеральная служба по техническому и экспортному контролю не ставит под сомнение допустимость использования open source, но подчёркивает необходимость внимательной проработки всех связанных с этим рисков. Ирина Гефнер отметила, что разработчики обязаны корректно указывать информацию о составе используемых компонентов и предоставлять исчерпывающие данные для анализа на соответствие требованиям безопасности.
В соответствии с приказом ФСТЭК №240 от 1 декабря 2023 года, любые средства защиты информации, предназначенные для работы с государственной тайной или иными ограниченными по доступу сведениями, подлежат сертификации. При этом разработчики, получившие соответствующий сертификат, получают право самостоятельно проводить испытания при обновлении продуктов, что требует особенно тщательного соблюдения процедур контроля изменений.
ГОСТ Р 56939–2024, вступивший в силу в текущем году, задаёт рамки для разработки безопасного программного обеспечения. Этот национальный стандарт направлен на минимизацию уязвимостей и устранение дефектов ещё на этапе проектирования, разработки и тестирования. Стандарт охватывает весь цикл разработки и подчёркивает важность защиты как функциональных, так и вспомогательных компонентов.
Осенью 2024 года ФСТЭК утвердила порядок проверки программ, содержащих открытые компоненты. В документе зафиксированы требования к подготовке документации, структуре отчётности и определению элементов поверхности атаки. Также разработчикам предписано проводить оценку реализованных механизмов защиты и актуальности уязвимостей в сторонних модулях.
Оригинал публикации на сайте CISOCLUB: "ФСТЭК заявила о широком использовании open source в ИБ-продуктах и напомнила о требованиях к безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.