Журнал "Information Security/ Информационная безопасность" #6, 2022

Предпосылки Основной предпосылкой внедрения практик разработки безопасного ПО тра- диционно являются требования регуля- торов – ситуация в России не отличается от мира в целом. ФСТЭК России фоку- сируется на технологической безопас- ности, на применении лучших мировых практик и их совершенствовании в соот- ветствии с актуальными угрозами и вызовами времени. В качестве частного примера с далеко идущими последствиями можно приве- сти проработку федеральной службой в сотрудничестве с сообществом экс- пертов в области ИБ-технологий подхода к декларированию программных ком- понентов, аналогичного изданному в 2021 г. указу 1 президента США, в числе прочего обязывающему разработчиков декларировать компонентный состав продукта – формировать SBoM (Software Bill of Materials, или реестр компонентных связей). Внедрение технологий анализа вле- чет за собой как дополнительные накладные расходы на бизнес "здесь и сейчас", так и более масштабные – в будущем. Реестр компонентных свя- зей продукта, представленный в стан- дартной форме, описывающий состав программного обеспечения, поверх- ность атаки на программное обеспече- ние и т.п., позволит регулирующим органам собирать широкий спектр ана- литической информации обо всех экс- плуатируемых программных продуктах практически в режиме реального вре- мени, что, в свою очередь, потребует оперативного реагирования на отсут- ствие должной поддержки разработчи- ками ПО, вплоть до отзыва сертифика- тов и лицензий на разработку. Руководство и маркетологи компаний обычно стараются подчеркнуть уникаль- ность продукта. Однако на поверку ока- зывается, что многие программные решения, продаваемые в том числе как отечественные, не уникальны. Они не только на 100% состоят из стороннего кода (еще и без учета лицензионных аспектов использования этого кода), но и при этом из его устаревших, никем не поддерживаемых версий, к тому же с размещением данных компонентов на поверхности атаки. А это наиболее кри- тические интерфейсы программного обеспечения, в первую очередь подвер- женные угрозам атаки потенциального нарушителя. Введение автоматизированного меха- низма в определенном смысле поместит разрабатываемые программные реше- ния "под рентген", снизив возможность сокрытия компонентов из-за недобро- совестной работы эксперта. Не менее важной предпосылкой к внед- рению процедур безопасной разработки (SDL, Secure Development Lifecycle) являет- ся осознание того, что SDL – не только "про безопасность", это один из доменов практик качественной разработки! Информация считается защищенной только в случае, если она обладает тремя свойствами одновременно: целостностью, доступностью и конфи- денциальностью. Таким образом, любое падение или замедление работы систе- мы, вызванное программной ошибкой, нарушает свойство доступности, а также зачастую ведет к перерасходу ресурсов. Перефразируя известную фразу Стива Балмера, СЕО Microsoft, "Developers! Developers! Developers!", можно сказать: "Тестирование, тестирование, тестиро- вание!" 38 • ТЕХНОЛОГИИ Как правильно организовать процесс безопасной разработки ПО (SDL): 6 шагов наши дни все больше элементов общественной инфраструктуры используют современные решения, основанные на компьютеризированных информационных системах. В то же время львиная доля программных компонентов, из которых они состоят, происходит из проектов с открытым кодом, зачастую не имеющих должной организации процесса разработки и тестирования. Отсутствие ответственности за надежность (защищенность) компонента приводит к нарушению цепочки доверия ко всем составляющим и продукту в целом. Внедрение в компании процессов безопасной разработки SDL (Secure Development Lifecycle) поможет избежать подобной проблемы. Давайте разберемся, какие тренды и организационные моменты необходимо учесть, какие инструменты использовать, чтобы добиться цели. В Дмитрий Пономарев, технический директор испытательной лаборатории ООО НТЦ “Фобос-НТ” Роман Карпов, директор по технологиям и развитию технологий Axiom JDK компании “БЕЛЛСОФТ”, руководитель комитета по ИБ АРПП “Отечественный софт” 1 https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/