Новый порядок сэкономит ресурсы и время
Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала приказ «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации». Согласно документу, с 1 июня вводится порядок проведения сертификации безопасной разработки ПО средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой. Сертификат соответствия выдается на срок до пяти лет.
Приказ не вводит дополнительные обязанности — он создает новые возможности, права и привилегии, считает директор по информационной безопасности Т1 Cloud Алексей Кубарев.
«Речь идет о порядке сертификации процессов организаций по требованиям национального стандарта по безопасной разработке ПО (ГОСТ Р 56939-2016). Этот стандарт действует восемь лет и не является обязательным для применения: решение о такой сертификации принимает вендор. При этом, если он пройдет данную сертификацию, то получит право самостоятельно проводить испытания при внесении любых изменений в сертифицированные программные и программно-аппаратные продукты. Это позволит сэкономить время от начала разработки идеи до выхода на рынок сертифицированного ПО, включая патчи, направленные на устранение уязвимостей, и финансовые ресурсы на проведение испытаний обновлений. Поэтому во многих случаях сертификация по данному стандарту будет экономически целесообразной», — пояснил Алексей Кубарев.
Директор по продукту инженерных инструментов платформы «Сфера» Евгений Калашников уточнил, что в области средств защиты информации (СЗИ) сертификация обязательна для продуктов, выполняющих функции по защите информации, например, антивирусной защиты, идентификации, аутентификации, управления доступом, контроля защищенности. Такие решения должны быть сертифицированы вне зависимости от закрытости контура их функционирования.
«Ранее разработчики при выпуске новой версии продукта вынуждены были проводить повторную сертификацию из-за того, что сертификат выдавался на определенную версию ПО. Это отнимало много времени и ресурсов. Новый приказ устанавливает четкий регламент порядка проведения сертификации процессов безопасной разработки, что позволит проводить повторную проверку самостоятельно при сертифицированном процессе разработки. Это сэкономит внушительные ресурсы для компаний-разработчиков, а также ускорит выпуск новых версий и их применение», — считает Евгений Калашников.
Любые средства защиты информации должны проходить проверку и получать сертификат на один из уровней доверия, добавил руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Он напомнил, что в большинстве случаев такая сертификация предполагает проверку исходного кода, из которого компилируется сертифицированное ПО. Далее с исполняемых файлов снимаются контрольные суммы. Такой дистрибутив можно передать заказчику, так как ПО считается сертифицированным. Если разработчик выпускает обновление, то он должен выполнять проверку повторно, потому что отсутствие проблем с безопасностью в старой версии не гарантирует их отсутствие в новом релизе. После успешных тестов на безопасность состав обновленного ПО вновь подается регулятору, который вносит изменения и актуализирует сертифицированную версию. Такая схема гарантирует заказчику, что поставляемое ПО тщательно проверено на безопасность.
«Но по текущим требованиям любые изменения функций безопасности в ПО проверяет не разработчик, а специализированная лаборатория. Проблема в том, что этот процесс затягивает сроки выхода нового релиза ПО. Инициативная группа, в которую мы входили в составе Комитета по информационной безопасности РУССОФТ, обращалась с этой проблемой во ФСТЭК. В 2022 году регулятор выпустил изменения, которые позволили разработчикам самостоятельно проводить весь цикл проверок, при условии, что первый релиз проверяла на безопасность специализированная лаборатория. Однако на тот момент не была сформирована методика проверок. Приказ ФСТЭК вводит эту методику и конкретные требования. Разработчики смогут получить лицензию на самостоятельную проверку своих обновлений, это значительно сократит время получения сертификата. Заказчики смогут чаще получать новые версии проверенных СЗИ и оперативно нейтрализовать актуальные угрозы», — пояснил Алексей Парфентьев.
Для прохождения сертификации разработчикам ПО потребуется выполнить ряд требований, указанных в приказе, например, они должны предоставить определенные сведения в заявке на сертификацию, пройти процедуру сертификации, которая включает в себя оценку соответствия реализованных процессов требованиям по безопасности, уточнил исполнительный директор «СиСофт Разработка» Михаил Бочаров.
«Это может повлечь необходимость дополнительных затрат на прохождение процедуры сертификации и выполнение требований по безопасной разработке ПО. Например, последуют затраты на подготовку документации, оплату услуг экспертов и другие расходы. Однако конкретные суммы и виды затрат зависят от условий сертификации, от специфики деятельности разработчика, объема и сложности разрабатываемого ПО, а также от того, какие именно требования по безопасности придется выполнять», — подытожил эксперт.
Генеральный директор vStack Евгений Карпов добавил, что стоит иметь ввиду и затраты на адаптацию процессов разработки: внедрение новых практик, инструментов и технологий, например, статического и динамического анализа кода, систем контроля версий и управления конфигурациями. Кроме того, необходимо повысить квалификации сотрудников в области безопасной разработки, провести аудиты и сертификации.
«Объем необходимых инвестиций будет зависеть от масштабов компании, сложности разрабатываемого ПО и существующих практик безопасности», — заключил Евгений Карпов.
Вложения потребуются в любом случае, но если организация уже построила процесс безопасной разработки, имеет сильную методическую базу, ее команда уверенно пользуется всеми инструментами, то вложения для прохождения сертификации будут минимальны, в противном случае вложения велики и трудозатратны, считает директор дирекции кибербезопасности IBS Олег Босенко.
Разработчики все чаще сталкиваются с необходимостью проведения сертификации ФСТЭК, и процедура сертификации довольно длительная и трудозатратная, поэтому регулятор долгое время рассматривал вариант сертификации процесса безопасной разработки для упрощения внесений изменений в сертифицируемый продукт и проведения новых сертификаций, пояснил директор по информационной безопасности платформы корпоративных коммуникаций и мобильности eXpress Максим Рубан. Он считает, что прохождение данной добровольной сертификации в дальнейшем поспособствует проведению новой сертификации продуктов в упрощенном порядке, что существенно снизит финансовую нагрузку для компаний, сэкономит их ресурсы и время.
Руководитель отдела обеспечения безопасной разработки и автоматизации тестирования компании «Аладдин Р.Д.» Антон Бауткин подчеркнул, что приказ № 240 не накладывает на разработчиков СЗИ конкретные обязательства, они появятся после вступления в силу новой версии ГОСТ 56939, который создается взамен ГОСТ 56939-2016. Принятие нового стандарта ожидается осенью 2024 года. Он устанавливает список процессов, которые должны быть у компании-разработчика для прохождения сертификации самой компании, и порядок проверки.
«Приказ № 240 в первую очередь требует от разработчиков найма дополнительных специалистов и финансовых вложений для достраивания и масштабирования процессов безопасной разработки ПО СЗИ, увеличения их прозрачности для прохождения сертификации. Если ранее процессы безопасной разработки могли сертифицироваться только в рамках продуктовой группы создателей сертифицируемого решения, то теперь безопасная разработка внедряется и сертифицируется для всей компании в целом. Если вендор ранее корректно выполнял требования по безопасной разработке ПО СЗИ для вывода на сертификацию, то вступающие в силу приказы и ГОСТы не потребуют сильной перестройки процессов и излишних затрат. Регулятор хотя и добился значительного сокращения сроков проведения сертификации, но она и сегодня занимает не один день», — рассказал Антон Бауткин.
Приказ необходим, так как создание решений для защиты информации — это длительная работа, поддержка и регулярный выход обновлений. Компании, которые сертифицируют собственные процессы безопасной разработки в 2025 году значительно упростят себе жизнь, убежден Антон Бауткин.
В пресс-службе компании «РОСА» определяющим фактором для сертификации ФСТЭК назвали желание компаний-разработчиков стать поставщиками решений для государства, а соответствие всем требованиям ФСТЭК — это закон рынка: либо играть по правилам, либо вовсе не играть.
«Крупные игроки в большинстве случаев будут получать сертификаты, потому что у них есть экономические и кадровые возможности. Безусловно, исполнение требований ФСТЭК — это большая подготовительная работа и для сертификации, и для последующей эксплуатации программных продуктов. Более мелкие игроки могут в будущем воспользоваться услугами Института системного программирования РАН, который получит сертификат. Создание безопасных российских продуктов сегодня особенно востребовано. Государство усиливает контроль над разработкой программного обеспечения и, что особенно важно сегодня, внимательно отслеживает любые попытки внедрять под видом российского ПО продукты с исходным кодом от недружественных стран. Развитие собственных репозиториев, операционных систем и программного обеспечения — важнейшая задача для обеспечения технологического суверенитета, а ФСТЭК — один из механизмов сатисфакции этого», — пояснили в «РОСА».
В современных условиях, когда киберугрозы становятся все более изощренными, особенно важно обеспечить безопасность разрабатываемого ПО уже на этапе его создания, поэтому необходимость данного приказа сложно переоценить, согласился Евгений Карпов. По его словам, документ устанавливает единые стандарты безопасности для разработчиков ПО, работающих с критически важной информацией, что способствует повышению доверия к отечественному программному обеспечению и снижению рисков утечек информации.
Атаки на ПО, содержащее гостайну, находятся на запредельном уровне, и безопасная разработка ПО — хорошее средство проактивной защиты, отметил Олег Босенко. Он пояснил, что на начальном этапе разработки учитываются требования к безопасности и модель угроз, отслеживаются уязвимости и потенциальные бэкдоры — все это формирует крепкий каркас для противодействия внешним угрозам.
«Данные законодательные инициативы необходимы для развития цифрового суверенитета страны. Государство дополнительно к процессу сертификации расширяет возможности контроля безопасности программного обеспечения, выводя процесс безопасной разработки в нормативно закрепленную плоскость. И тут возникает риторический вопрос к регулятору: почему процедура отнесена к сертификации, а не к лицензированию?», — рассуждает Олег Босенко.
В условиях возрастающих угроз информационной безопасности, связанных с кибератаками и утечками данных, обеспечение безопасности разработки программного обеспечения становится критически важным, а законодательство в области защиты информации может требовать от разработчиков и производителей программного обеспечения соблюдения определенных стандартов и процедур для обеспечения безопасности, поэтому приказ необходим, считает Михаил Бочаров.
Максим Рубан напомнил, что с каждым годом становится все больше сертифицируемых продуктов, в связи с этим испытательные лаборатории, органы по сертификации и сами разработчики сильно перегружены.
«Приказ направлен на сокращение объема работ всех участников. Теперь можно один раз провести полную проверку процесса безопасной разработки, и дальнейшие сертификации продуктов будут проходить в упрощенном виде. К тому же новые требования позволят увеличить уровень зрелости безопасной разработки компаний», — резюмировал Максим Рубан.
Новые требования к наземным спутниковым станциям
Минцифры выпустило приказ «Об утверждении Требований к применению земных станций спутниковой связи и вещания». Он вступает в силу 1 сентября текущего года и действует до 1 сентября 2028-го. Документ разработан в целях обеспечения целостности, устойчивости функционирования и безопасности единой сети электросвязи.
«Спутниковые системы сегодня активно развиваются. Наземная станция нужна для приземления трафика. В целях сохранения безопасности в нашей стране действует четкая регуляторика, включая систему обеспечения оперативно-розыскных мероприятий, через которую проходят звонки, сообщения. Однако спутниковые компании, в том числе иностранные, которые формально имеют право работать на территории России, это требование могут не соблюдать. Подобное произошло в Иране, где Starlink предоставлял возможность пользоваться своей связью организаторам беспорядков, что расценивается как военное применение. Такая угроза реальна и в нашей стране, поэтому государство на разных уровнях внедряет средства защиты, в том числе, спутниковым операторам работать без наземных станций. И это правильно», — считает ведущий аналитик Mobile Research Group Эльдар Муртазин.
В отель заселят по биометрии
Правительство разрешило гостиницам, домам отдыха и другим объектам размещения заселять граждан России, используя подтвержденные биометрические данные. Для этого был создан специальный сервис, который заработает во второй половине текущего года.
Данной инициативой правительство решает несколько задач: поддерживает туристическую отрасль, проводит глобальную цифровизацию услуг и переводит страну на рельсы экономики данных, отметил директор практики «Стратегия роста и продаж» «Рексофт Консалтинг» Кирилл Малышев. Он подчеркнул, что эти цели обозначены в майском Указе Президента о национальных целях развития Российской Федерации на период до 2030 года.
«Реакция отельеров будет зависеть от двух основных факторов. Первый — это необходимый размер инвестиций в этот процесс. Например, потребуются расходы на приобретение и установку соответствующего программного обеспечения и устройств, в том числе камер. Возникнут дополнительные расходы, связанные с получением данных гостей из Единой биометрической системы. Сейчас доступ к биометрии платный, тарифицируется за каждое обращение. Второй важный момент — это наличие биометрических данных граждан. В 2023 году российские гостиницы приняли более 60 млн постояльцев. Какой процент наличия биометрических данных есть в системах, с учетом того, что процесс сдачи является добровольным? К тому же, по данным прошлого года было заселено более 2 млн иностранных граждан — по ним биометрии тоже нет», — рассуждает Кирилл Малышев.
Эксперт считает использование биометрии в туристическом бизнесе перспективным. Она позволяет гостю в рамках туристического комплекса не пользоваться карточками — все услуги будут предоставляться по биометрии, и в конце своего пребывания он просто получит счет. Это выводит клиентский сервис отеля на новый уровень.
«Применение биометрии в этой сфере может быть востребовано со стороны туристов. Но насколько это необходимо самой отрасли, и готов ли бизнес к инвестициям во внедрение и поддержку технологии? Вопрос остается открытым. В прошлом году мы видели федеральную программу поддержки гостиниц и пансионатов для развития внутреннего туризма, но она была востребована прежде всего предприятиями, испытывающими проблемы с загрузкой. Возможно, доступ к ее продлению получат только отели, подключенные к сервису биометрии. Это ускорит внедрение инициативы. Но вопрос инвестиций со стороны бизнеса все равно не закрывает», — резюмировал Кирилл Малышев.
Без разрешения беспилотник не снимает
Вступил в силу закон, согласно которому воздушная съемка с использованием беспилотных летательных аппаратов возможна только с разрешения уполномоченного органа с последующим контрольным просмотром. В противном случае аппарат могут сбить, а владельца привлечь к ответственности. Правительство дополнительно определит случаи, когда выполнять воздушную съемку с беспилотника можно будет без разрешения.
Заместитель генерального директора компании «Геоскан» по стратегическим проектам Андрей Грудев напомнил, что требования по проведению воздушной съемки действуют еще с советского времени. В них описана, в том числе, необходимость получения разрешения уполномоченного органа с последующим контрольным просмотром материалов воздушной съемки.
«К сожалению, эти требования являются документами ограниченного доступа, поэтому, возможно, они не столь широко известны. Новацией же федерального закона от 30 января 2024 г. №2-ФЗ является лишь факт упоминания этих требований в рамках Воздушного кодекса РФ и фиксация полномочий правительства по определению случаев, в которых для выполнения воздушной съемки с борта воздушного судна не требуется получение разрешений, определению порядка получения разрешений на воздушную съемку, определению порядка проведения контрольного просмотра», — обратил внимание Андрей Грудев.
Что касается контроля использования воздушного пространства, то, по словам эксперта, подразделения транспортной безопасности смогут пресекать функционирование беспилотных аппаратов в целях защиты от актов незаконного вмешательства объектов транспортной инфраструктуры. «То есть речь идет исключительно о нарушениях порядка использования воздушного пространства. Например, можно говорить о нарушении беспилотником границ запретной зоны, то есть о полете, вне зависимости от наличия или отсутствия какой-либо полезной нагрузки на борту беспилотного воздушного судна», — пояснил Андрей Грудев.
Чтобы все было законно, при выполнении воздушной съемки необходимо получать два различных разрешения в двух разных ведомствах: на выполнение полета — от органов Единой системы организации воздушного движения и на проведение воздушной съемки — от Министерства обороны, уточнил он.
«Соответственно, различными будут и последствия отсутствия разрешений: при полете без разрешения аппарат могут сбить, а владельца привлечь к административной ответственности. Воздушная съемка без разрешения или отсутствие контрольного просмотра — уголовная ответственность владельца беспилотника», — резюмировал Андрей Грудев.