Требование сертификации безопасной разработки появилось недавно и для многих компаний — это существенное удорожание затрат и удлинение срока разработки внутри, то есть это не касается сертификации. Понятно, что это правильный путь, но тем не менее, Вы эко
[…] Что касается безопасной разработки: во-первых, это требование появилось недавно. Мы в 2016 году разработали стандарт, мы начали проводить активную политику, анонсировать и призывать все компании-разработчики к внедрению механизма безопасной разработки. И тогда этот процесс не был обязательным. […] В 2018 году в требовании доверия появилась обязательность проверки ряда процедур, которые внедряются при безопасной разработке. Мы выдержали паузу в 2 года для того, чтобы компании-разработчики средств безопасности могли приступить к внедрению этих механизмов. Давайте теперь по поводу эффективности и целесообразности всех процедур, их влияния на конечный результат – на безопасность продукта, а главное – на поддержку его безопасности в процессе применения его пользователями. Основное – моделирование угроз, управление требованиями и документацией, проведение различных видов тестирования, с точки зрения функционального анализа уязвимости и недекларируемых возможностей, поддержка безопасности, управление изменениями и так далее. Я сейчас говорю об уровнях доверия, они дифференцированы. Мы считаем, что выходить на высокий уровень доверия для применения средств защиты в федеральных системах без внедренных процедур – это ущерб безопасности, потому что у нас много примеров, особенно по программному обеспечению, построенному на основе открытого исходного кода или заимствованных компонентах, когда в процессе эксплуатации выявляются множественные уязвимости, и в результате компания-разработчик не имеет компетенции и не имеет возможности устранить эти уязвимости в сертифицированном средстве из-за отсутствия специалистов, которые хотя бы могут протестировать изменения из доступных репозиториев. Эту ситуацию для определенного уровня доверия необходимо менять. […] Их надо совершенствовать, развивать, я согласен полностью, их надо адаптировать к существующим подходам разработки – мы этим занимаемся в рамках технического комитета по стандартизации 362. Благодаря поддержке Минцифры и Росстандарта в ближайшее время предполагается разработать ещё ряд стандартов по безопасной разработке. Это направление актуально, его надо внедрять и заниматься.
Л
Ответил
Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021