Об истории становления сообщества Центра компетенций ФСТЭК России и ИСП РАН 27.07.2023 10:48
Дмитрий Пономарев, заместитель генерального директора – директор департамента внедрения и развития РБПО НТЦ “Фобос-НТ”, сотрудник ИСП РАН, преподаватель МГТУ им. Н.Э.Баумана
В России активно действует сообщество Центра компетенций ФСТЭК России и ИСП РАН. Для меня эта история началась в 2018 г. и стала глубоко личной. Придя работать в испытательную лабораторию из сферы, не связанной с регуляторикой, я стал участником процессов, не все аспекты которых мне были понятны как на техническом уровне, так и на уровне идеи.
В числе основных вопросов, которые я задавал себе и своим руководителям, были следующие.
-
Современные СЗИ вплоть до 100% состоят из компонентов с открытым исходным кодом, типовая сертификация, как правило, подразумевает исследования в отношении одной и той же кодовой базы. При этом требуемый объем работ превышает глубину и возможности любого конечного исследования, тем более полноценный анализ невозможен силами только испытательных лабораторий без процессов РБПО у разработчика.
-
Разработчики и эксперты максимально атомизированы. Каждый варится в своем "котле", пытаясь делать, по сути, одну и ту же работу, наступая на одни и те же грабли. При этом, осознавая реально требуемый масштаб трудозатрат, как правило, выполняют ее в режиме "лишь бы получить сертификат".
-
Неоднозначный набор практик и критериев анализа в отношении СЗИ современного масштаба в условиях реальных угроз. В качестве примера можно привести "вставку датчиков" – опытные специалисты хорошо ее помнят.
-
Для разработчика процесс сертификации напоминает магический ритуал, в котором лаборатория выступает в роли шамана, проводящего заявителя к сертификату через тернии ей одной понятной нормативки. Это приводит к неприятию со стороны инженеров-разработчиков, ведь есть фундаментальная разница между "тяжело, но понятно" и "непонятно зачем". В первом случае результатом становится конструктивный процесс совместной работы, а во втором – желание поскорее "решить вопрос".
В это же время, в конце 2018 г., ФСТЭК России вела активную работу по системному развитию нормативно-правовой базы, и уже к середине 2019 г. были введены в действие два основополагающих документа, неформально известных как "Требования доверия" и "Методика НДВ". На мой взгляд это событие заложило фундамент для формирования сообще- ства. Отметим и другие значимые вехи.
-
В мае 2019 г. прошли первые курсы ФСТЭК России на базе ИСП РАН. Сертификационная общественность внезапно осознала, что в стране и в Институте в частности созданы и развиваются технологии анализа мирового уровня, а современная сертификация – это в первую очередь "про и для инженеров".
-
Открытые пилотные испытания по Методике на базе "Лаборатории Касперского" и "Кода Безопасности" с инструментальной и методической поддержкой ИСП РАН.
-
Создание в 2020 г. первыми участниками сообщества чата по фаззингу и его дальнейшее эволюционирование в официальную систему чатов по вопросам безопасной разработки под эгидой Центра компетенций.
-
Разработка и ввод в действие в 2020 г. новой редакции Методики, требующей в том числе анализа интерпретаторов. Знаковое событие для сплочения сообщества!
-
Серия встреч сообщества в 2021 г. на базе "Лаборатории Касперского", "Кода безопасности", ИВК/Базальт, "Фобос- НТ", обсуждение концепций совместной работы.
-
Запуск в 2021 г. "Линукс-центра" и объединение отечественных "ядровиков".
-
Встреча сообщества с заместителем директора ФСТЭК России В.С. Лютиковым на полях конференции ISPRASOPEN 2021 и обсуждение парадигм совместной инженерной работы.
-
В 2022 г. "Линукс-центр" набирает обороты, параллельно начинается работа под эгидой Центра по критическим компонентам в отношении .NET 6, NodeJS, OpenSSL, Nginx, Lua.
-
В сентябре 2022 г. на базе ИУ10 МГТУ им. Баумана стартовал курс интенсивного обучения студентов – будущих сотрудников ФСТЭК России и компа- нийлицензиатов актуальным практикам безопасной разработки и анализа в парадигме Центра компетенций.
-
На ТБ Форуме 2023 прошла большая встреча сообщества в рамках SDL-дня, включавшая доклады, семинар, мастерклассы и много того, что называется модным словом "нетворкинг".
-
В мае 2023 г. опубликовано объединяющее соглашение о консорциуме "Линукс-центра", с приглашением заинтересованных участников.
Весной и летом 2023 г. география встреч расширилась за счет Санкт- Петербурга. Сообщество активно пополняется новыми экспертами, в их числе ведущие российские участники открытых проектов Postgres, Python и Lua.
Таким образом, менее чем за пять лет благодаря сочетанию системного подхода и личного энтузиазма участников ситуация разительно изменилась:
-
сформировался костяк сообщества, состоящий из разработчиков (в том числе конкурентов), чиновников, ученых, руководителей и исследователей, помогающих и верифицирующих друг друга при решении различных задач;
-
появился механизм эффективной совместной работы над обеспечением безопасности и качества открытого кода, находящегося в зоне неконкурентности;
-
сформировалась дружелюбная, открытая среда обмена знаниями и опытом в вопросах применения практик анализа и выстраивания процессов РБПО и освоения системных технологий;
-
появилась возможность верификации качества и ценности решений, технологий и услуг в области защиты информации и качественной разработки с опорой на опыт, отличный от транслируемого маркетологами и рекламщиками.
Постоянно растет число участников сообщества, делающих ставку на то, что честно внедренные процессы РБПО – это в первую очередь "для себя", а не "ради регулятора", а безопасная и качественная разработка – это конкурентное преимущество XXI века!
Алексей Смирнов, CEO CodeScoring
Организация: российский разработчик решения для композиционного анализа ПО, активный участник российских сообществ безопасной разработки
Ключевые направления деятельности: решение композиционного анализа CodeScoring для безопасной работы с Оpen Source и совместимости лицензии
Тема SDL не нова, про нее говорят уже много лет. Но если раньше SDL был уделом только зрелых организаций, то в современных условиях он стал необходимостью для любых разработчиков.Отсутствие безопасной разработки – это слабый кирпич в фундаменте любого продукта. Большинство разработчиков когда-то научились, что баги нужно исправлять, но им никто не говорил о том, что уязвимость – это тоже баг. Пора менять подход.Безопасность кода должна стать конструктивным свойством любого программного обеспечения, и думать об этом нужно на всех этапах его создания, от планирования архитектуры, в ходе ее реализации и на фазе сопровождения и развития продукта.
Другие источники: