2024: Разработку безопасного ПО пора модернизировать. Принят новый ГОСТ
В середине июня технический комитет Росстандарта №362 проголосовал за обновление стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»[1]. Предполагается, что в течении следующих 6 месяцев новый текст стандарта будет опубликован Росстандартом, а в действие он вступит с 1 января 2025 года. В этот раз активное участие в разработке приняли такие российские разработчики как «Лаборатория Касперского», «Позитив Текнолоджиз», «ИнфоТеКС» и других. Стандарт применяется, в частности, при сертификации средств защиты по требованиям приказа №76 ФСТЭК по уровням доверия.
Как отметила Карина Нападовская, руководитель центра сертификации и соответствия стандартам «Лаборатория Касперского», версия стандарта ГОСТ Р 65939-2016 была своевременной, однако предполагала добросовестность организаций, внедряющих безопасную разработку, и компетентность экспертов. В то же время сейчас существенно вырос запрос на безопасность ПО и расширение охватываемых стандартизацией аспектов безопасности. Описание мер в предыдущем стандарте не позволяло оценить качество реализации каждой меры и ее влияние на безопасность конечного продукта. Именно поэтому потребовалось пересматривать стандарт, с учётом актуальных требований и при участии компаний, уже реализовавших положения предыдущей версии стандарта.
Работа над новой версией ГОСТ Р 65939 была начала в октябре 2022, а к ноябрю 2023 была представлена в программном комитете №4 ТК 362 для обсуждения среди его участников. Была сформирована рабочая группа по доработке стандарта, куда вошли десять компаний, в том числе и перечисленные выше. Совместно они подготовили новый текст стандарта с учётом самых разнообразных замечаний, поданных в процессе общественного обсуждения. Причем больше всего замечаний было по разделу «Процессы разработки» — 341, на втором месте «Термины и определения» — 85, на третьем «Общие требования» — 48 и «Общие замечания» — 42. К апрелю 2024 года была разработана вторая версия стандарта, которая и была представлена к голосованию.
Следует отменить, что «Общие требования» — это первый стандарт в серии. По словам Карины Нападовской предполагается ещё разработка «Методики оценки реализации процессов разработки безопасного ПО» и «Руководство по внедрению процессов разработки безопасного ПО». Они сформируют общий комплекс стандартов, которые будут стимулировать разработчиков по улучшению качества процессов разработки ПО с точки зрения его безопасности.
 | Сейчас, пока полностью не сформирована нормативная база и есть только принятый стандарт на общие требования, мы будем работать, отталкиваясь от того как процессы разработки безопасного ПО реализованы для некоторой группы программных продуктов, — пояснил TAdviser как будет использоваться стандарт Вартан Падарян, к.ф.-м.н. и заведующий лабораторией ИСП РАН. — Мы предполагаем использовать его для некоторого логически увязанного технологического гнезда продуктов, которые имеют сильное пересечение по узкой базе и которые развиваются одной командой разработчиков и реализующих новый функционал. При этом в рамках организации, возможно, некоторые процессы реализуются отдельными общими командами: DevOps, пентестеров, внутреннего аудита. Возможна составная команда фаззинга, когда есть продуктовые тестировщики, которые взаимодействуют с общими для компании специалистами по фаззингу. Так или иначе в процессе сертификации должны быть установлены контакты с этими людьми и проведена оценка их компетенций. |  |
Собственно, «Лаборатория Касперского» уже подала заявку на прохождение аудита по новой версии стандарта — компания собирается быть первым тестировщиком новых норм. О присоединении к процессу тестирования новых норм также заявила и ГК «Астра».
| | В процессе пилотного тестирования мы будем смотреть применительно к описанным в стандарте процессам, которые будут поданы на сертификацию, как в них применяются технологии, какие люди эти процессы обслуживают и как эти процессы обеспечены ресурсами, — объяснил Вартан Падарян. — Это не только документы, но, в первую очередь, фактическая сторона дела — как все работает в компании. В итоговый сертификат в рамках переходного периода будет вписываться только факт общего соответствия компании. Причем по стандарту ГОСТ Р 65939-2016. В рамках текущего стандарта мы можем дать только двоичную оценку — либо соответствует, либо нет.
Ведётся разработка национального стандарта по оценке соответствия процессов разработки безопасного ПО. Лидером является «Лаборатория Касперского». Мы очень хотим, чтобы к концу этого года мы уже прошли стадию общественного обсуждения, чтобы к 1 января 2025 года уже была стабилизированная редакция, которая станет методологической основой для проводимых проверок, чтобы задачи сертификации процессов можно было бы масштабировать по всей стране. В этом стандарте уже будут предусмотрены уровни зрелости. Я могу предположить, что для разработчиков средств защиты информации со стороны регуляторов будут некоторые усиления по требованиям для соответствия новому стандарту. | |
Примечания
