Журнал "Information Security/ Информационная безопасность" #5, 2023

Середину 2010-х гг. многие заявители, сертифицировавшие свои продукты во ФСТЭК России, описывают короткой фразой "Не было печали". События 2014 г. создали положитель- ный импульс для разработки отечествен- ных решений – предвестник текущего курса на импортозамещение и техноло- гическую независимость. Требования регулятора в основном сконцентрирова- ны на реализации определенных функ- ций, что позволяет не перестраивать процессы разработки, а всего лишь дополнять бэклог новыми задачами понятного разработчикам типа. БДУ ФСТЭК только зарождается, равно как и культура контроля наличия известных уязвимостей в сторонних для СЗИ ком- понентах, а требования по обязательной (и, что немаловажно, бесплатной в части устранения известных уязвимостей на протяжении срока действия заветного сертификата) поддержке клиентов еще не введены приказом № 131. Взаимо- отношения экспертов с программистами слегка омрачаются необходимостью выполнения ряда процедур из серии "вставка датчиков в исходный код" при испытаниях на высокие уровни НДВ, которые, однако, даже если их удалось выполнить, а не просто сэмулировать результаты, никак не влияют на итоговый результат испытаний и воспринимаются как неизбежный, но в конечном итоге безвредный ритуал. В этот более-менее понятый и приня- тый участниками процесс как гром среди ясного неба врываются 2018 год и раз- работка ФСТЭК России Требований Доверия и Методики ВУ и НДВ. Мне сильно повезло (стаж работы в испыта- тельной лаборатории составлял менее четырех месяцев) оказаться на всех совещаниях на Старой Басманной по обсуждению первой версии Методики. Я хорошо помню глубокий шок обществен- ности, в процессе встреч осознающей перспективу многократного увеличения работ как количественно, так и каче- ственно. Навсегда запомнился и первый поток первой программы курсов ФСТЭК на базе ИСП РАН по освоению Методики: 12 дней рассказов про компиляторы, эмуляторы и инструментирование для 22 курсантов, некоторые из которых ни разу в жизни не работали в консольном Linux, а в Python знали команду print и терялись в догадках: "Что за зверь такой, классы в языке программирова- ния?" Отдельным "подарком" оказалось и первое в истории решение на проведе- ние испытаний по новой Методике, кото- рое досталось "Лаборатории Касперского" и нашей испытательной лаборатории – на момент его выдачи даже в Open Source не было рабочего фаззера для JavaScript, но поверхность атаки на СЗИ была написана как раз на нем. "Ревущие двадцатые годы" сменились 2021 г., в котором уже значительной массе лицензиатов стало ясно: продви- гаемая ФСТЭК России парадигма "сначала РБПО – потом сертификация" не только жизнеспособна, но и, с учетом вызовов времени, системно правильна. Наиболее прозорливые компании начали осознавать два важных факта: l РБПО – это про качество кода и про- цессов в компании, а не только про без- опасность; l РБПО – это конкурентное преимуще- ство XXI века. Из представителей этих компаний и начало формироваться сообщество Цент- ра компетенций ФСТЭК России и ИСП РАН, краткая история которого изложена в предыдущем номере журнала. 1 На рубеже 2023–2024 гг. положение разительно отличается от картины пяти- тилетней давности. Практики РБПО тре- буются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта. Запрос на РБПО- специалистов огромен. Я регулярно помогаю проводить собеседование на данную позицию – готовых свободных специалистов на рынке практически нет. Под эгидой ТК 362 разрабатывается целый комплекс новых ГОСТов по раз- личным видам анализа, ведется работа по глубокой модернизации ГОСТ 56939. На этом поле кипят нешуточные баталии, в разработке участвуют ведущие игроки рынка, в том числе с мировым именем, как теоретики, так и практики – зачастую прямые конкуренты, что, по общему мнению, однозначно способствует каче- ству и доверию к документам. Ни одна крупная ИБ-конференция, от ТБ Форума до OFFZONE, не обходится без обсуж- дения тематики РБПО. Формируется рынок услуг статического и динамиче- ского анализа, в том числе под эгидой участия в консорциуме Технологического центра анализа безопасности ядра Linux и критических компонентов. 2 Все вышеперечисленное вряд ли могло бы быть достигнуто без сочетания системности, настойчивости, самоотвер- женности и преданности общему делу небольшого коллектива сотрудников центрального аппарата ФСТЭК России. Несмотря на определенную инертность ряда участников рынка в переходе к новой парадигме приоритета безопас- ной разработки, несмотря на вызовы и ограничения событий последних лет, Служба не только не отказалась от выбранного курса, но и добилась ста- бильного роста числа его сторонников. При знакомстве с новыми коллективами я все чаще слышу примерно следующее: "ФСТЭК – молодцы, заставляют нас делать тяжелое, но правильное дело!" И вряд ли эксперт ИЛ может услышать от своего визави более приятные слова: такая позиция разработчика – это прак- тически залог успеха сертификации. Подводя итог, от имени всех коллекти- вов, которые я представляю, хочу поже- лать ФСТЭК России всяческих успехов на их нелегком, но столь значимом для безопасности нашей Родины и всех нас пути! l 50 • СПЕЦПРОЕКТ Сертификация СЗИ – курс на РБПО Дмитрий Пономарев, заместитель генерального директора – директор департамента внедрения и развития РБПО НТЦ “Фобос-НТ”, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э.Баумана Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://cs.groteck.com/IB_3_2023/40 2 https://portal.linuxtesting.ru/

RkJQdWJsaXNoZXIy Mzk4NzYw