ФСТЭК создаёт систему разработки и эксплуатации безопасного ПО

На Магнитогорском банковском форуме Виталий Лютиков, начальника второго Управления ФСТЭК, рассказал о создаваемой этой организацией системе разработки и эксплуатации безопасного ПО.

В основе системы – разрабатываемый с апреля 2013 г. НПО «Эшелон» ГОСТ Р «Защита информации. Безопасная разработка программного обеспечения. Общие положения». Предварительная редакция стандарта уже обсуждалась с сентября по ноябрь прошлого года. К апрелю, по заверениям Лютикова, будет подготовлена и передана в Росстандарт для утверждения его окончательная редакция.

При разработке ГОСТа учитывался как международный опыт (документы Microsoft SDL, Cisco CDL, OWASP CLASP), так и российские варианты международных стандартов ИСО/МЭК 15408-3 (общие критерии, компоненты доверия к безопасности) и 27001 (требования к системе управления информационной безопасностью). На основе этих материалов должен быть сформирован набор методических рекомендаций, обеспечивающих безопасное проектирование, разработку, распространение, внедрение и эксплуатацию ПО.

Вот как комментирует ситуацию с обсуждаемым стандартом Андрей Степаненко, эксперт по технологиям защиты информации компании «Код Безопасности»: «Сейчас ФСТЭК прорабатывает два документа – ГОСТ Р «Защита информации. Безопасная разработка программного обеспечения. Общие положения», в котором будут сформулированы требования к разработке (их соблюдение, по идее, обеспечит лучшее качество продукта), и "Рекомендации по обновлению ПО", устанавливающие требования к разработчику по устранению уязвимостей (проект документа недавно выложен на сайте ФСТЭКа). Внедрение этих процессов должно привести к повышению качества отечественных продуктов благодаря уменьшению количества ошибок в ПО».

Предварительный вариант стандарта предполагает, что разработчик построит у себя систему управления безопасной разработкой программного обеспечения (СУБР). Она включает в себя процедуру оценки рисков, тестирование ПО при помощи статических и динамических методов анализа исходного кода, выполнение внешними специалистами тестов на проникновение. Также намечено создать систему исправления ошибок в уже эксплуатируемом ПО, а для регламентации этого процесса предполагается использовать упомянутые Андреем Степаненко рекомендации.

Параллельно специалисты ООО «ЦБИ» разрабатывают ещё два стандарта – ГОСТ Р «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» и «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей». Оба стандарта практически готовы и в ближайшее время будут переданы в Росстандарт для утверждения. Таким образом, ФСТЭК формирует инфраструктуру безопасной разработки ПО, элементом которой станет база угроз и уязвимостей, о формировании которой мы уже писали.

«Впервые требования к безопасной разработке ПО появились в 17 и 21 приказах ФСТЭК. Тогда и началась проработка этого вопроса, – отмечает Андрей Степаненко. – Таким образом, разговоры о создании ГОСТа и рекомендаций ФСТЭКа вполне своевременны. И, на мой взгляд, это – «must-have» для разработчика. Заказчик от внедрения стандарта только выигрывает, поскольку применение технологий безопасной разработки должно повысить качество выпускаемых продуктов. А разработчикам следование стандарту добавит хлопот, но качество кода должно вырасти.»

При этом, говорит в своём блоге Андрей Прозоров, эксперт BISA, «несколько раз упоминалось, что многие (или даже большинство) финансовых организаций попадают под КВО/КИИ, а значит, им придётся ориентироваться на соответствующие требования ФСТЭК России и других регуляторов». Другими словами, для разработчиков банковских приложений требования к безопасной разработке кода, сформулированные в ГОСТе, могут стать чуть ли не обязательными.