2787 подписчиков
Продолжение темы
«Основные риски информационной безопасности значимых объектов критической информационной инфраструктуры (ЗО КИИ)»
Начало - пост выше.
Эволюция развития требований по безопасной разработке ПО
Начнем с небольшой исторической справки. Первые методические документы ФСТЭК России по теме безопасности КИИ были опубликованы в 2007 (тогда использовался термин «Ключевые системы информационной инфраструктуры»). В ходе развития данной системы нормативно-правовых актов сначала выделилось направление по защите АСУ ТП на опасных производствах, где в первых редакциях приказа №31 ФСТЭК России в 2014 году появились меры, связанные с обеспечением безопасной разработки ПО, которые включали в себя как процедуры анализа уязвимостей и статические проверки безопасности исходных кодов (т.е. без исполнения кода), так и динамические проверки и тестирование на проникновение в отношении уже «собранного» ПО.
В 2017 году образовалась действующая система безопасности КИИ, в которой помимо ФСТЭК России значимую роль стали играть ФСБ России, НКЦКИ, ряд министерств, ведомств и госкорпораций. В 2020 году система безопасности ЗО КИИ также была дополнена требованиями к безопасности самого процесса разработки и поставки прикладного ПО для ЗО КИИ, которые вступили в силу с 1 января 2023 года. Теперь разработчики прикладного ПО для ЗО КИИ должны регламентировать процедуры безопасной разработки во внутренней нормативной документации, проводить инструментальные проверки безопасности, а также мероприятия по поддержке ПО в ходе его жизненного цикла.
Если подвести краткое резюме, можно сказать, что первые шаги в направлении импортозамещения программных продуктов в организациях-субъектах КИИ были сделаны в 2014 году, однако, мощным катализатором данного процесса стали события 2022 года, и последовавшие за ними известные Указы Президента №166 и №250, которые обязали субъектов КИИ заменить до 2025 года прикладное импортное ПО и средства защиты из «недружественных» стран на отечественные.
Деятельность государства по регулированию и поддержке безопасной разработки ПО
Говоря об основах текущей политики государства в вопросе безопасной разработки программного обеспечения, можно выделить сразу несколько основных направлений.
Первое – это создание необходимой регуляторики. На сегодняшний день уже разработан комплекс стандартов, регламентов, указов для отрасли по вопросу безопасной разработки ПО, а также выстроено взаимодействие с техническими комитетами. При техническом комитете 362 существует рабочая группа, которая при участии специалистов Института системного программирования РАН (ИСП РАН), ФСТЭК России и экспертного сообщества занимается разработкой стандартов для безопасной разработки программного обеспечения. Также к данному направлению можно отнести развитие системы лицензирования деятельности по технической защите информации и созданию средств защиты информации (СЗИ), что направлено на повышение качества оказания услуг по информационной безопасности в целом и по безопасной разработке в частности.
Второе – это поддержка отечественных разработчиков ПО и СЗИ с помощью системы грантов и субсидий. К примеру, Фонд РФРИТ активно финансирует проекты по разработке как прикладного ПО, так и СЗИ.
При поддержке государства создаются центры компетенций по импортозамещению, где эксперты прорабатывают вопросы, связанные с определением приоритетности поддержки тех или иных программных продуктов. Сегодня таких центров насчитывается уже порядка тридцати.
Расширяется взаимодействие с профильными ассоциациями, сообществами, в рамках которых организуется обмен опытом, знаниями с экспертами в области импортозамещения ПО. К этому направлению можно отнести инициативу ИСП РАН и ФСТЭК России по созданию Технологического центра исследования безопасности ядра Linux — по сути это комьюнити разработчиков, которые совместно стараются сделать свободно распространяемый код безопасней.
Третье – это создание условной “базы знаний”. К этому можно отнести ведение государственных реестров: СЗИ, прикладного отечественного ПО, радиоэлектронного оборудования и пр.
3 минуты
7 июня 2023