С целью помочь российским разработчикам ПО в обеспечении информационной безопасности их продукции на протяжении всего ее жизненного цикла в нашей стране ведется работа над соответствующим ГОСТом.
Как пояснил директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов, работа идет в нескольких направлениях. Начаты переводы соответствующих международных стандартов ISO и их адаптация в качестве национальных. Завершение этих работ ожидается в
Наряду с этим «с нуля» разрабатываются национальные стандарты. К настоящему времени на разной стадии готовности находится семейство стандартов по выявлению уязвимостей и стандарт по обеспечению ИБ жизненного цикла ПО. Их разработка инициирована непосредственно ФСТЭК России.
В настоящее время сертификация средств защиты по линии ФСТЭК переводится на ГОСТ 15408 (Common Criteria). Этот стандарт, как пояснил Дмитрий Кузнецов, требует проводить оценку ряда этапов процесса разработки через управление конфигурациями, функциональное тестирование, анализ уязвимостей и т. д., однако не предъявляет к ним конкретных требований. Именно эти неопределенности ФСТЭК и стремится устранить своим активным участием в разработке нового стандарта по безопасной разработке ПО. Этот стандарт, по мнению г-на Кузнецова, будет полезен и даже крайне необходим прежде всего разработчикам, которые планируют сертификацию своего ПО, а также испытательным лабораториям.
Новый стандарт определит понятие процесса разработки и управления им (в частности, то, что должно включать в себя это управление), требования к управлению конфигурациями (файлами исходного кода, сборками, релизами, документацией), требования к процессу поставки. В стандарте будут также сформулированы требования к контролю качества кода через определение в качестве мер контроля функционального тестирования, статического и динамического анализа кода, тестирования на проникновение. Это важно, поскольку, по мнению Дмитрия Кузнецова, до сих пор российские разработчики в своей массе не считают целенаправленный поиск уязвимостей в коде частью процесса разработки ПО.
Он полагает, что новый стандарт систематизирует хорошо зарекомендовавшие себя практики SDLC. Из чего он заключает, что те, кто умеет делать качественный софт, уже следует этим практикам в своей работе, а кто не умеет, с появлением нового ГОСТа не изменит резко свое отношение к качеству разработки, поскольку исполнение национальных стандартов является делом исключительно добровольным.
Тем не менее все чаще слышны голоса в пользу повышения ИБ российского ПО через использование инструментов и процессов безопасной разработки. Сегодня апологетами нового стандарта выступают ведущие российские разработчики ПО, аудиторы уязвимостей ИКТ-инфраструктур и программных приложений, а с недавних пор все активнее к ним присоединяющиеся корпоративные заказчики. Например, банкам явно надоело нести убытки из-за дыр в ПО своих автоматизированных банковских системах и в системах дистанционного банковского облуживания, среди которых, кстати, в нашей стране как раз преобладают отечественные продукты. Явно страдают от большого числа уязвимостей и мобильные приложения, количество которых сегодня растет как на дрожжах.
Ожидается, что в окончательной редакции новый ГОСТ выйдет уже в этом году, а в действие вступит в следующем. Работая с некоторым упреждением спроса, «Академия информационных систем», как объявил ее ректор Юрий Малинин, намерена подготовить и включить в свою программу обучающих курсов курс по безопасной разработке ПО, начав с обучающих семинаров по этой теме. Один из претендентов на участие в подготовке такого курса в качестве автора — компания «Перспективный мониторинг», сообщил заместитель ее директора Алексей Качалин.
Эксперты уверены, что не за горами времена, когда поддержка ИБ на всем протяжении жизненного цикла программных продуктах станет для разработчиков конкурентным преимуществом, а затем и нормой, без следования которой продать свои продукты на рынке станет весьма затруднительно.