Внедрение процедур разработки безопасного ПО в компаниях

Процессы жизненного цикла Разработки Безопасного Программного Обеспечения (РБПО или Security Development Lifecycle – SDL) – должны являться неотъемлемой частью процесса создания и сопровождения разрабатываемых компанией ИТ-продуктов. Значимые стартовые затраты на внедрение процессов РБПО в компаниях зачастую обусловлены сменой парадигмы её работы – необходимостью набора и дообучения сотрудников, приобретения и внедрения инструментов анализа, обновления и доработки устаревшей и небезопасной кодовой базы. В средне- и особенно долгосрочной перспективе эти затраты компенсируются значительным повышением безопасности и качества кода, снижением нагрузки на отделы тестирования, уменьшением time-to-market разрабатываемых продуктов, а также сокращением сроков их сертификации.

Внедрение процедур разработки безопасного ПО — это не только пример мировой «лучшей практики», но и чем дальше, тем больше объективная необходимость, связанная с активным развитием отечественной нормативно-правовой базы, в первую очередь формируемой ФСТЭК России. Кратко обозначим наиболее важные события:

  • Приняты и введены в действия ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++» и ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения». В стадии окончания разработки и принятия существенно обновленная редакция ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». В стадии разработки дополняющие его ГОСТы «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ» и «Защита информации. Разработка безопасного ПО. Руководство по оценке безопасности программного обеспечения».
  • Центр компетенций ФСТЭК России, как совместный проект ФСТЭК России и ИСП РАН активно развивается и пополняется новыми компаниями разработчиков и испытательными лабораториями, делающими основной акцент в своей работе на разработку безопасного и качественного программного обеспечения. С краткой историей образования и развития Центра и его участников, а также проблемами внедрения РБПО в компаниях вы можете ознакомиться здесь и здесь.
Приведем выборку из списка знаний, процессов и технологий, подлежащих внедрению и автоматизации в ходе выстраивания процесса РБПО в современной компании:
  • моделирование и проектирование безопасной архитектуры, минимизация и точное определение поверхности атаки;
  • статический анализ исходного кода, конфигураций модулей и групп контейнеров;
  • использование безопасных сборочных сред (в т. ч. компиляторов) и их параметров;
  • систематическое выявление и устранение рисков от известных уязвимостей сторонних компонентов;
  • модульное и функциональное тестирование, фаззинг-тестирование;
  • выявление недекларированных взаимодействий со средой функционирования, анализ утечек чувствительных данных;
  • различные варианты тестирования на проникновение;
  • обучение сотрудников в парадигме безопасной разработки и автоматизация процессов РБПО.

Наш опыт в сертификации показывает, что правильно поставленный в компании процесс РБПО – это гарантия относительно быстрой и недорогой сертификации программного обеспечения, а также конкурентное преимущество компании. Испытательная лаборатория ООО НТЦ «Фобос-НТ» имеет большой опыт внедрения и развития процессов РБПО в отечественных компаниях, с опорой на требования и методики ФСТЭК России и технологии ИСП РАН. Мы сделали основой своей работы принцип «Сначала – внедрение безопасной и качественной разработки в компании, потом – сертификация». С отзывами о работе с нами вы можете ознакомиться здесь.

Состав, перечень, формат услуг по внедрению и развитию процессов безопасной разработки программного обеспечения, их ориентировочную стоимость и другие интересующие вас вопросы можно уточнить, написав Хрыкову Сергею Владимировичу и Пономареву Дмитрию Владимировичу .

Отзывы о работе с нами

Отзыв от ИСП РАН

Арутюн Ишханович Аветисян

Академик РАН, Директор Института системного программирования РАН

Давно работаем с коллегами из «Фобос-НТ». Они умеют выстраивать все РБПО-процессы на нужном технологическом уровне и обладают колоссальным практическим опытом. Для нас очень полезны обратные связи от «Фобоса» по нашим инструментам и работе с нормативными документами. Внимательно выслушиваем…

Прочитать полностью...

Отзыв от компании Базальт СПО

Трандин Сергей

Генеральный директор "Базальт СПО"

«Базальт СПО» сотрудничает с НТЦ «Фобос-НТ» более 3 лет. За это время лаборатория показала себя как надежный партнер в области защиты конфиденциальной информации. «Фобос-НТ» активно продвигает методы безопасной разработки, что созвучно с принципиальной позицией «Базальт СПО». Благодаря продуктивному…

Прочитать полностью...

Отзыв от компании Postgres Professional

Панченко Иван

Заместитель генерального директора и сооснователь Postgres Professional

Фобос-НТ — признанные эксперты и активные проводники SDL в России. За годы сотрудничества они помогли нам внедрить методы безопасной разработки и сопровождают процесс сертификации при выпуске обновлений СУБД Postgres Pro. Требовательные, и в то же время всегда готовы помочь советом или дополнительными…

Прочитать полностью...

Отзыв от компании БЕЛЛСОФТ

Карпов Роман Дмитриевич

Директор по стратегии и развитию технологий Axiom JDK

Для нас, профессиональных разработчиков OpenJDK, несмотря на промышленный процесс производства ПО включая практики безопасной разработки, выбор партнера по сертификации ФСТЭК был очень трепетный. На тот момент для нас это был новый рынок о котором мы ничего не знали. Учитывая мой колоссальный опыт в…

Прочитать полностью...

Отзыв от компании Гарда Технологии

Пономарев Владимир

Заместитель генерального директора ООО «Гарда Технологии»

С лабораторией мы сотрудничаем уже много лет, и коллеги всегда показывали себя с самой лучшей стороны – и как профессионалы, и в плане чисто человеческого общения.  Оглядываясь назад, могу с уверенностью сказать, что объем полученных нами знаний и опыта сильно превосходит формальные требования контрактных обязательств,…

Прочитать полностью...

Отзыв от компании Аладдин

Бауткин Антон

Компания Аладдин. Руководитель отдела обеспечения безопасной разработки.

Успешные завершенные проекты сертификации решений Аладдин на соответствие требованиям ФСТЭК – лучшее доказательство профессионализма и глубокой экспертизы испытательной лаборатории Фобос-НТ. В подобных проектах разработчику решений невозможно обойтись без оперативной, грамотной работы и поддержки…

Прочитать полностью...

Отзыв от ООО «НПЦ «КСБ»

Сергеев Сергей Николаевич

Генеральный директор ООО «НПЦ «КСБ»

НТЦ «Фобос-НТ» - надежный партнер! Коллеги умеют грамотно подойти к делу, что обеспечивает необходимый уровень профессионализма, и, что немаловажно постоянно вкладываются в собственное образование, освоение и развитие передовых практик и инструментов ApplicationSecurity. Часто совместно работаем…

Прочитать полностью...

Отзыв от компании Айдеко

Коренберг Марк

СТО ООО "Айдеко"

Единственная лаборатория, в которой специалисты действительно могут сказать что именно нужно делать: разъяснить что означают требования, какую документация как нужно писать, предлагают инструменты и др. В общем — чувствуется помощь и поддержка. Смотрят вглубь продукта, задают неудобные вопросы,…

Прочитать полностью...

Отзыв от компании BI.ZONE

Меджлумов Муслим Асфендерович

Директор по продуктам и технологиям BI.ZONE

Мы выражаем благодарность компании Фобос-НТ за помощь с проектом по сертификации продукта BI.ZONE WAF. Для нашей компании это был первый опыт сертификации продуктов в системе ФСТЭК. Поэтому нам было важно не только решить задачу по сертификации отдельного решения, но и выстроить этот процесс…

Прочитать полностью...

Отзыв от компании

Смирнов Алексей Алексеевич

Генеральный директор ООО «Профископ»

Наша команда сотрудничает с Фобос-НТ относительно недавно, и мы уже на 100% убедились, что это компания с адекватным упором на экспертизу и технологии, с адекватным восприятием нормативной базы. Совместно ведем работу по разработке стандартов безопасной разработки в ТК 362 ФСТЭК России и проходим…

Прочитать полностью...

Отзыв от МГТУ им. Баумана

Сычев Михаил Павлович

Первый заместитель заведующего кафедрой ИУ10 «Защита информации» МГТУ им. Н.Э. Баумана

МГТУ им. Н.Э. Баумана в лице кафедры ИУ10 «Защита информации» имеет пока еще непродолжительный, но при этом крайне положительный опыт работы с испытательной лабораторией «Фобос-НТ», выражает сердечную благодарность руководству и коллективу «Фобос-НТ» за безупречный подход и всестороннюю поддержку…

Прочитать полностью...

Отзыв от ООО

Мартиросов Давид

Генеральный директор ООО "Базис"

Команда БАЗИСа начала сотрудничество с НТЦ "Фобос-НТ" в 2023 году и я уже сейчас могу заявить, что это настоящие профессионалы своего дела. Успешное обновление сертификата ФСТЭК в сжатые сроки с проведением всех необходимых исследований и с качественной проверкой защиты информации стало результатом…

Прочитать полностью...

Последние новости

Информационное письмо ФСТЭК России
25/09/2024

Информационное письмо ФСТЭК России

В адрес лабораторий и разработчиков поступило информационное письмо ФСТЭК России об изменении порядка исследования критичных компонентов с открытым исходным кодом при проведении испытаний.

Ecumene 2024: Участие Фобос-НТ
17/09/2024

Ecumene 2024: Участие Фобос-НТ

17 сентября прошел Глобальный форум Ecumene 2024, одной из тем которого была «Информационная безопасность».