Журнал "Information Security/ Информационная безопасность" #3, 2023

В России активно действует сообщество Центра компетенций ФСТЭК России и ИСП РАН. Для меня эта история началась в 2018 г. и стала глубоко личной. Придя работать в испытательную лабораторию из сферы, не связанной с регуляторикой, я стал участником процессов, не все аспек- ты которых мне были понятны как на тех- ническом уровне, так и на уровне идеи. В числе основных вопросов, которые я задавал себе и своим руководителям, были следующие. 1. Современные СЗИ вплоть до 100% состоят из компонентов с открытым исходным кодом, типовая сертификация, как правило, подразумевает исследова- ния в отношении одной и той же кодовой базы. При этом требуемый объем работ превышает глубину и возможности любо- го конечного исследования, тем более полноценный анализ невозможен силами только испытательных лабораторий без процессов РБПО у разработчика. 2. Разработчики и эксперты макси- мально атомизированы. Каждый варится в своем "котле", пытаясь делать, по сути, одну и ту же работу, наступая на одни и те же грабли. При этом, осознавая реально требуемый масштаб трудозат- рат, как правило, выполняют ее в режиме "лишь бы получить сертификат". 3. Неоднозначный набор практик и кри- териев анализа в отношении СЗИ совре- менного масштаба в условиях реальных угроз. В качестве примера можно приве- сти "вставку датчиков" – опытные спе- циалисты хорошо ее помнят. 4. Для разработчика процесс серти- фикации напоминает магический ритуал, в котором лаборатория выступает в роли шамана, проводящего заявителя к сер- тификату через тернии ей одной понят- ной нормативки. Это приводит к неприя- тию со стороны инженеров-разработчи- ков, ведь есть фундаментальная разница между "тяжело, но понятно" и "непонятно зачем". В первом случае результатом становится конструктивный процесс совместной работы, а во втором – жела- ние поскорее "решить вопрос". В это же время, в конце 2018 г., ФСТЭК России вела активную работу по систем- ному развитию нормативно-правовой базы, и уже к середине 2019 г. были вве- дены в действие два основополагающих документа, неформально известных как "Требования доверия" и "Методика НДВ". На мой взгляд это событие заложило фундамент для формирования сообще- ства. Отметим и другие значимые вехи. l В мае 2019 г. прошли первые курсы ФСТЭК России на базе ИСП РАН. Сер- тификационная общественность внезапно осознала, что в стране и в Институте в частности созданы и развиваются тех- нологии 1 анализа мирового уровня, а современная сертификация – это в первую очередь "про и для инженеров". l Открытые пилотные испытания по Методике на базе "Лаборатории Кас- перского" и "Кода Безопасности" с инструментальной и методической под- держкой ИСП РАН. l Создание в 2020 г. первыми участни- ками сообщества чата по фаззингу и его дальнейшее эволюционирование в офи- циальную систему чатов 2 по вопросам безопасной разработки под эгидой Цент- ра компетенций. l Разработка и ввод в действие в 2020 г. новой редакции Методики, требующей в том числе анализа интерпретаторов. Знаковое событие для сплочения сообщества! l Серия встреч сообщества в 2021 г. на базе "Лаборатории Касперского", "Кода безопасности", ИВК/Базальт, "Фобос- НТ", обсуждение концепций совместной работы. l Запуск в 2021 г. "Линукс-центра" 3 и объединение отечественных "ядровиков". l Встреча сообщества с заместителем директора ФСТЭК России В.С. Лютико- вым на полях конференции ISPRASOPEN 2021 и обсуждение парадигм совместной инженерной работы. l В 2022 г. "Линукс-центр" набирает обороты, параллельно начинается рабо- та под эгидой Центра по критическим компонентам в отношении .NET 6, NodeJS, OpenSSL, Nginx, Lua. l В сентябре 2022 г. на базе ИУ10 МГТУ им. Баумана стартовал курс интен- сивного обучения студентов – будущих сотрудников ФСТЭК России и компа- ний-лицензиатов актуальным практикам безопасной разработки и анализа в пара- дигме Центра компетенций. l На ТБ Форуме 2023 прошла большая встреча сообщества в рамках SDL-дня 4 , включавшая доклады, семинар, мастер- классы и много того, что называется модным словом "нетворкинг". l В мае 2023 г. опубликовано объеди- няющее соглашение 3 о консорциуме "Линукс-центра", с приглашением заинте- ресованных участников. Весной и летом 2023 г. география встреч расширилась за счет Санкт- Петербурга. Сообщество активно попол- няется новыми экспертами, в их числе ведущие российские участники открытых проектов Postgres, Python и Lua. Таким образом, менее чем за пять лет благодаря сочетанию системного подхода и личного энтузиазма участни- ков ситуация разительно изменилась: l сформировался костяк сообщества, состоящий из разработчиков (в том числе конкурентов), чиновников, ученых, руководителей и исследователей, помо- гающих и верифицирующих друг друга при решении различных задач; l появился механизм эффективной совместной работы над обеспечением безопасности и качества открытого кода, находящегося в зоне неконкурентности; l сформировалась дружелюбная, откры- тая среда обмена знаниями и опытом в вопросах применения практик анализа и выстраивания процессов РБПО и освоения системных технологий; l появилась возможность верификации качества и ценности решений, техноло- гий и услуг в области защиты информа- ции и качественной разработки с опорой на опыт, отличный от транслируемого маркетологами и рекламщиками. Постоянно растет число участников сообщества, делающих ставку на то, что честно внедренные процессы РБПО – это в первую очередь "для себя", а не "ради регулятора", а безопасная и каче- ственная разработка – это конкурентное преимущество XXI века! l 38 • СПЕЦПРОЕКТ Об истории становления сообщества Центра компетенций ФСТЭК России и ИСП РАН Дмитрий Пономарев, заместитель генерального директора – директор департамента внедрения и развития РБПО НТЦ “Фобос-НТ”, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э.Баумана Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.ispras.ru/downloads/ISP_RAS_Catalogue_of_technologies_2022_ru.pdf 2 https://t.me/sdl_community/3676 3 https://portal.linuxtesting.ru/news.html#main 4 https://www.tbforum.ru/2023/program/sdl