Цифровизация остается одним из основных драйверов развития нашей страны, как в государственном и муниципальном управлении, так и в частном секторе. Преимущества очевидны, как, впрочем, и ограничения, и угрозы. Поэтому и государство, и бизнес уделяют все большее внимание вопросам обеспечения информационной безопасности. Здесь можно выделить два взаимосвязанных тренда. Во-первых, в связи с уходом большинства западных вендоров и требований регуляторов на фоне серьезных изменений в законодательстве происходит всеобщий переход на отечественное программное обеспечение (ПО), и сферы обеспечения информационной безопасности это касается едва ли не в первую очередь. Во-вторых, фокус требований к информационной безопасности смещается с отдельных продуктов к процессу разработки безопасного программного обеспечения (РБПО). Это видно не только на рынке, но и в изменениях нормативной базы и регуляторной практики. О них и поговорим подробнее.
Для кого важна нормативная база РБПО?
Нормы по безопасной разработке ПО направлены на то, чтобы повысить защищенность организаций практически из любых сфер. Разумеется, речь идет об обществах с государственным участием и госкорпорациях, системообразующих предприятиях, эксплуатантах государственных информационных система и систем обработки персональных данных.
Кроме того, практически весь крупный и средний бизнес так или иначе использует объекты критической информационной инфраструктуры (КИИ) или обеспечивает взаимодействие указанных объектов. К ним относятся информационные системы и сети, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Отсылки к требованиям безопасной разработки содержатся в федеральных законах № 149-ФЗ "Об информации, информационных технологиях и о защите информации", № 152-ФЗ "О персональных данных", № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и их подзаконных актах.
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 25.12.2017 № 239 устанавливает ключевое требование: разработка значимого объекта критической информационной инфраструктуры ведется исключительно по стандартам РБПО. Обязательное мероприятие – проведение анализа уязвимостей всех элементов информационной системы. По результатам должно быть подтверждено, что в значимом объекте отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России. Таким образом, определяется "низшая граница" безопасности.
Отдельный и большой массив требований к РБПО действует в кредитно-финансовой сфере, также требования есть и в области обработки персональных данных.
Подключается к регулированию и Минэнерго России. Например, приказ от 26.12.2023 № 1215 утверждает дополнительные требования по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики. Согласно документу, в отношении программного обеспечения, используемого для реализации дистанционного управления из диспетчерских центров, должно выполняться такое требование поддержки безопасности программного обеспечения, как наличие процедур отслеживания, исправления обнаруженных ошибок и уязвимостей программного обеспечения.
Указ Президента РФ от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" распространяет свое действие на органы власти, предприятия с государственным участием, субъекты критической информационной инфраструктуры, стратегические и системообразующие организации. Документ обязывает осуществлять мероприятия по оценке уровня защищенности информационных систем и одновременно запрещает использовать любые средства защиты информации из недружественных стран.
Как изменится регулирование РБПО?
В полном объеме будет пересмотрен "базовый" ГОСТ Р 56939-2016. Вместо девяти мер по разработке безопасного ПО вводится 25 мер, которые в сумме содержат более 100 требований к процессу разработки безопасного программного обеспечения. Проект изменений опубликован 31.05.2024 г. и ждет утверждения к концу 2024 года.
Среди нового перечня мер выделяются те, которые, как правило, требуют экспертных компетенций в области безопасной разработки: экспертиза и статистический анализ исходного кода, динамический анализ кода программы, использование безопасной системы сборки программного обеспечения, обеспечение безопасности используемых секретов, проверка кода на предмет внедрения вредоносного программного обеспечения через цепочки поставок и ряд других.
В новой редакции ФСТЭК России планирует внести изменения в приказ от 11.02.2013 № 17 (проект изменений опубликован на сайте ФСТЭК России 08.08.2024 г.) о защите информации в госсистемах. Положения о внедрении практик безопасной разработки добавлены в явном, акцентированном виде. В частности, не допускается использование ПО без проведения работ по экспертизе, тестированию и (или) исследованию исходного кода, в том числе без проведения статического и динамического анализа кода программ, а также композиционного анализа программного обеспечения.
Также и Банк России планирует пересмотреть положения № 821-П и № 757-П. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), некредитные финансовые организации получат право не проводить контроль каждой версии ПО, если они имеют "заключение проверяющей организации о том, что реализуемые процессы разработки программного обеспечения и приложений включают меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений". То есть безопасная разработка позволит избежать контроля ПО (в том числе если это объект КИИ, судя по действующим проектам новых редакций положений) – это достаточно революционный подход. Посмотрим, как Банк России регулирует сферу РБПО сейчас.
Финансовый сектор
Положения Банка России, в частности, устанавливают необходимость применения прикладного ПО, прошедшего оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4. Это четвертый из шести уровней доверия, включающий в себя практически все самые жесткие и серьезные требования. Соответствовать ОУД 4 и выше должно ПО, необходимое для обслуживания клиентов банков, например, финансовых приложений или эквайринговых систем.
В отличии от организаций, имеющих право соблюдать ГОСТ Р 57580.1-2017 в добровольном порядке, для платежных систем, а также для участников Платформы цифрового рубля, этот ГОСТ становится обязательным.
И это логично, учитывая, что именно организации финансовой сферы, их клиенты и деньги, чаще всего становятся мишенями злоумышленников, а значит, должны быть максимально защищены.
Положение Банка России № 821-П указывает на обязательное выполнение ежегодного тестирования на предмет наличия возможности проникновения в информационную инфраструктуру и анализ уязвимостей информационной безопасности систем денежных переводов.
Нормативная база Центробанка, затрагивающая вопросы безопасной разработки, достаточно объемная, перечень основных Положений приведен в справке в конце статьи.
Сертификат на процесс разработки
Выше мы рассказали, как изменится регулирование со стороны Федеральной службы по техническому и экспортному контролю. В том числе изменения произошли в сфере сертификации средств защиты информации, теперь возможно сертифицировать процесс разработки безопасного ПО средств защиты информации.
Сертификации процесса РБПО посвящен приказ ФСТЭК России от 01.12.2023 № 240. Согласно документу, компания, претендующая на получение сертификата, должна реализовать у себя процессы по безопасной разработке программного обеспечения, внедрить необходимые инструментальные средства, а также обладать квалифицированными кадрами среди команды разработки и специалистов по безопасности приложений.
Основная задача – повышение безопасности такого программного обеспечения и сокращение сроков на выпуск в промышленную эксплуатацию новых версий сертифицированного ПО. Важно отметить, что первично все-таки необходимо сертифицировать ПО и затем при желании сертифицировать процесс.
Ответственность
Необходимо сказать об ответственности, которую предусматривают Кодекс Российской Федерации об административных правонарушениях и Уголовный кодекс Российской Федерации. Согласно ст. 13.12 (ч.6) КоАП РФ, нарушение требований о защите информации влечет наложение административного штрафа на юридические лица – от 10 000 до 15 000 рублей.
В соответствии со ст. 13.12.1 (ч.1) КоАП РФ, нарушение требований к созданию систем безопасности значимых объектов КИИ либо требований по обеспечению безопасности значимых объектов КИ влечет наложение административного штрафа на юридические лица в размере от 50 000 до 100 000 рублей.
И это при отсутствии серьезных последствий, иначе ответственность может быть уже уголовной. Ведь согласно ст. 274.1 (ч.3) УК РФ, нарушение правил эксплуатации, либо правил доступа, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, наказывается принудительными работами на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо лишением свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.
Безопасная разработка
Указом Президента РФ от 18.06.2024 № 529 определены приоритетные направления научно-технологического развития и перечень важнейших наукоемких технологий. "Безопасность получения, хранения, передачи и обработки информации" определена как приоритет научно-технологического развития", а в числе важнейших наукоемких технологий выделяются "технологии создания доверенного и защищенного системного и прикладного программного обеспечения". Так что речь идет о стратегическом направлении развития нашей страны, в котором РБПО занимает важное место.
И на рынке, и в сфере нормативного регулирования мы видим активный осознанный процесс перехода к Secure-by-Design и о смещении Shift-Left в обеспечении безопасности цифровых продуктов. Именно в сфере РБПО ГК Swordfish Security обладает экспертными компетенциями и качественным опытом, которым мы готовы делиться с нашими клиентами и партнерами.
ПРИЛОЖЕНИЕ. Действующие нормативные акты, регулирующие в числе прочего разработку безопасного программного обеспечения
Общие нормы
Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации
Указ Президента РФ от 18.06.2024 № 529 "Об утверждении приоритетных направлений научно-технологического развития и перечня важнейших наукоемких технологи
ГОСТ Р 56939-2016 "Разработка безопасного программного обеспечения Общие требования"
ГОСТ Р 15408-3-2013 "Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий"
ГОСТ Р 58412-2019 "Разработка безопасного программного обеспечения Угрозы безопасности информации при разработке программного обеспечения"
Приказ ФСТЭК России от 03.04.2018 № 55 "Об утверждении Положения о системе сертификации средств защиты информации"
Приказ ФСТЭК России от 02.06.2020 № 76 "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий"
Субъекты критической информационной инфраструктуры КИИ
Указ Президента РФ от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"
Федеральный закон от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Приказ ФСТЭК России от 14.03.2014 № 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды"
Приказ ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"
Обработка персональных данных
Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных"
Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
Организации кредитно-финансовой сферы
ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"
Положение Банка России от 17.04.2019 № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"
Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"
Положение Банка России от 20.04.2021 № 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций"
Положение Банка России от 17.10.2022 N 808-П "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций…"
Положение Банка России от 15.11.2021 N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности"
Положение Банка России от 12.01.2022 N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг"
Положение Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России"
Положение Банка России от 03.08.2023 № 820-П "О платформе цифрового рубля"
Положение Банка России от 17.08.2023 № 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
Положение Банка России от 07.12.2023 № 833-П "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля"
Методический документ Банка России от 2021 года Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций
Энергетика
Приказ Минэнерго России от 26.12.2023 № 1215 "Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике"
Государственные информационные системы
Приказ ФСТЭК России от 11.02.2013 № 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
Методические рекомендации по обеспечению безопасности при разработке программного обеспечения с использованием компонентов Единой цифровой платформы "ГосТех". (Утверждено протоколом Президиума Правительственной комиссии от 08.12.2022 № 54)
Концепция разработки безопасного ПО на платформе "ГосТех". (Утверждено протоколом Президиума Правительственной комиссии от 04.05.2023 № 20)