Главная / О компании / Новости / Об истории становления сообщества Центра компетенций ФСТЭК России и ИСП РАН

Об истории становления сообщества Центра компетенций ФСТЭК России и ИСП РАН

« Назад

Об истории становления сообщества Центра компетенций ФСТЭК России и ИСП РАН  27.07.2023 10:48

Дмитрий Пономарев, заместитель генерального директора – директор департамента внедрения и развития РБПО НТЦ “Фобос-НТ”, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э.Баумана
 
 
В России активно действует сообщество Центра компетенций ФСТЭК России и ИСП РАН. Для меня эта история началась в 2018 г. и стала глубоко личной. Придя работать в испытательную лабораторию из сферы, не связанной с регуляторикой, я стал участником процессов, не все аспекты которых мне были понятны как на техническом уровне, так и на уровне идеи.
 
В числе основных вопросов, которые я задавал себе и своим руководителям, были следующие.
  1. Современные СЗИ вплоть до 100% состоят из компонентов с открытым исходным кодом, типовая сертификация, как правило, подразумевает исследования в отношении одной и той же кодовой базы. При этом требуемый объем работ превышает глубину и возможности любого конечного исследования, тем более полноценный анализ невозможен силами только испытательных лабораторий без процессов РБПО у разработчика.
  2. Разработчики и эксперты максимально атомизированы. Каждый варится в своем "котле", пытаясь делать, по сути, одну и ту же работу, наступая на одни и те же грабли. При этом, осознавая реально требуемый масштаб трудозатрат, как правило, выполняют ее в режиме "лишь бы получить сертификат".
  3. Неоднозначный набор практик и критериев анализа в отношении СЗИ современного масштаба в условиях реальных угроз. В качестве примера можно привести "вставку датчиков" – опытные специалисты хорошо ее помнят.
  4. Для разработчика процесс сертификации напоминает магический ритуал, в котором лаборатория выступает в роли шамана, проводящего заявителя к сертификату через тернии ей одной понятной нормативки. Это приводит к неприятию со стороны инженеров-разработчиков, ведь есть фундаментальная разница между "тяжело, но понятно" и "непонятно зачем". В первом случае результатом становится конструктивный процесс совместной работы, а во втором – желание поскорее "решить вопрос".
В это же время, в конце 2018 г., ФСТЭК России вела активную работу по системному развитию нормативно-правовой базы, и уже к середине 2019 г. были введены в действие два основополагающих документа, неформально известных как "Требования доверия" и "Методика НДВ". На мой взгляд это событие заложило фундамент для формирования сообще- ства. Отметим и другие значимые вехи.
  • В мае 2019 г. прошли первые курсы ФСТЭК России на базе ИСП РАН. Сертификационная общественность внезапно осознала, что в стране и в Институте в частности созданы и развиваются технологии анализа мирового уровня, а современная сертификация – это в первую очередь "про и для инженеров".  
  • Открытые пилотные испытания по Методике на базе "Лаборатории Касперского" и "Кода Безопасности" с инструментальной и методической поддержкой ИСП РАН.
  • Создание в 2020 г. первыми участниками сообщества чата по фаззингу и его дальнейшее эволюционирование в официальную систему чатов по вопросам безопасной разработки под эгидой Центра компетенций.
  • Разработка и ввод в действие в 2020 г. новой редакции Методики, требующей в том числе анализа интерпретаторов. Знаковое событие для сплочения сообщества!
  • Серия встреч сообщества в 2021 г. на базе "Лаборатории Касперского", "Кода безопасности", ИВК/Базальт, "Фобос- НТ", обсуждение концепций совместной работы.
  • Запуск в 2021 г. "Линукс-центра" и объединение отечественных "ядровиков". 
  • Встреча сообщества с заместителем директора ФСТЭК России В.С. Лютиковым на полях конференции ISPRASOPEN 2021 и обсуждение парадигм совместной инженерной работы.
  • В 2022 г. "Линукс-центр" набирает обороты, параллельно начинается работа под эгидой Центра по критическим компонентам в отношении .NET 6, NodeJS, OpenSSL, Nginx, Lua.
  • В сентябре 2022 г. на базе ИУ10 МГТУ им. Баумана стартовал курс интенсивного обучения студентов – будущих сотрудников ФСТЭК России и компа- нийлицензиатов актуальным практикам безопасной разработки и анализа в парадигме Центра компетенций.
  • На ТБ Форуме 2023 прошла большая встреча сообщества в рамках SDL-дня, включавшая доклады, семинар, мастерклассы и много того, что называется модным словом "нетворкинг".
  • В мае 2023 г. опубликовано объединяющее соглашение о консорциуме "Линукс-центра", с приглашением заинтересованных участников.
Весной и летом 2023 г. география встреч расширилась за счет Санкт- Петербурга. Сообщество активно пополняется новыми экспертами, в их числе ведущие российские участники открытых проектов Postgres, Python и Lua.
 
Таким образом, менее чем за пять лет благодаря сочетанию системного подхода и личного энтузиазма участников ситуация разительно изменилась:
  • сформировался костяк сообщества, состоящий из разработчиков (в том числе конкурентов), чиновников, ученых, руководителей и исследователей, помогающих и верифицирующих друг друга при решении различных задач;
  • появился механизм эффективной совместной работы над обеспечением безопасности и качества открытого кода, находящегося в зоне неконкурентности; 
  • сформировалась дружелюбная, открытая среда обмена знаниями и опытом в вопросах применения практик анализа и выстраивания процессов РБПО и освоения системных технологий;
  • появилась возможность верификации качества и ценности решений, технологий и услуг в области защиты информации и качественной разработки с опорой на опыт, отличный от транслируемого маркетологами и рекламщиками.
Постоянно растет число участников сообщества, делающих ставку на то, что честно внедренные процессы РБПО – это в первую очередь "для себя", а не "ради регулятора", а безопасная и качественная разработка – это конкурентное преимущество XXI века! 
 
Алексей Смирнов, CEO CodeScoring
 
Организация: российский разработчик решения для композиционного анализа ПО, активный участник российских сообществ безопасной разработки
 
Ключевые направления деятельности: решение композиционного анализа CodeScoring для безопасной работы с Оpen Source и совместимости лицензии
 
Тема SDL не нова, про нее говорят уже много лет. Но если раньше SDL был уделом только зрелых организаций, то в современных условиях он стал необходимостью для любых разработчиков.
 
Отсутствие безопасной разработки – это слабый кирпич в фундаменте любого продукта. Большинство разработчиков когда-то научились, что баги нужно исправлять, но им никто не говорил о том, что уязвимость – это тоже баг. Пора менять подход.
 
Безопасность кода должна стать конструктивным свойством любого программного обеспечения, и думать об этом нужно на всех этапах его создания, от планирования архитектуры, в ходе ее реализации и на фазе сопровождения и развития продукта.
Другие источники: