Внедрение процедур разработки безопасного ПО в компаниях
Процессы жизненного цикла Разработки Безопасного Программного Обеспечения (РБПО или Security Development Lifecycle – SDL) – должны являться неотъемлемой частью процесса создания и сопровождения разрабатываемых компанией ИТ-продуктов. Значимые стартовые затраты на внедрение процессов РБПО в компаниях зачастую обусловлены сменой парадигмы её работы – необходимостью набора и дообучения сотрудников, приобретения и внедрения инструментов анализа, обновления и доработки устаревшей и небезопасной кодовой базы. В средне- и особенно долгосрочной перспективе эти затраты компенсируются значительным повышением безопасности и качества кода, снижением нагрузки на отделы тестирования, уменьшением time-to-market разрабатываемых продуктов, а также сокращением сроков их сертификации.
Внедрение процедур разработки безопасного ПО — это не только пример мировой «лучшей практики», но и чем дальше, тем больше объективная необходимость, связанная с активным развитием отечественной нормативно-правовой базы, в первую очередь формируемой ФСТЭК России. Кратко обозначим наиболее важные события:
- Приняты и введены в действия ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++» и ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения». В стадии окончания разработки и принятия существенно обновленная редакция ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». В стадии разработки дополняющие его ГОСТы «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ» и «Защита информации. Разработка безопасного ПО. Руководство по оценке безопасности программного обеспечения».
- Центр компетенций ФСТЭК России, как совместный проект ФСТЭК России и ИСП РАН активно развивается и пополняется новыми компаниями разработчиков и испытательными лабораториями, делающими основной акцент в своей работе на разработку безопасного и качественного программного обеспечения. С краткой историей образования и развития Центра и его участников, а также проблемами внедрения РБПО в компаниях вы можете ознакомиться здесь и здесь.
Приведем выборку из списка знаний, процессов и технологий, подлежащих внедрению и автоматизации в ходе выстраивания процесса РБПО в современной компании:
- моделирование и проектирование безопасной архитектуры, минимизация и точное определение поверхности атаки;
- статический анализ исходного кода, конфигураций модулей и групп контейнеров;
- использование безопасных сборочных сред (в т. ч. компиляторов) и их параметров;
- систематическое выявление и устранение рисков от известных уязвимостей сторонних компонентов;
- модульное и функциональное тестирование, фаззинг-тестирование;
- выявление недекларированных взаимодействий со средой функционирования, анализ утечек чувствительных данных;
- различные варианты тестирования на проникновение;
- обучение сотрудников в парадигме безопасной разработки и автоматизация процессов РБПО.
Наш опыт в сертификации показывает, что правильно поставленный в компании процесс РБПО – это гарантия относительно быстрой и недорогой сертификации программного обеспечения, а также конкурентное преимущество компании. Испытательная лаборатория ООО НТЦ «Фобос-НТ» имеет большой опыт внедрения и развития процессов РБПО в отечественных компаниях, с опорой на требования и методики ФСТЭК России и технологии ИСП РАН. Мы сделали основой своей работы принцип «Сначала – внедрение безопасной и качественной разработки в компании, потом – сертификация». С отзывами о работе с нами вы можете ознакомиться здесь.
Состав, перечень, формат услуг по внедрению и развитию процессов безопасной разработки программного обеспечения, их ориентировочную стоимость и другие интересующие вас вопросы можно уточнить, написав Хрыкову Сергею Владимировичу и Пономареву Дмитрию Владимировичу .