14.02.2014

Конференция ФСТЭК. Часть 4. SDLC и виртуализация

В заключительной, 4-й части рассказа о конференции ФСТЭК, я коснусь последних двух вопросов, которые находятся в прицеле ФСТЭК, - виртуализации и безопасности программировании.

Первую тему на конференции очень неплохо осветил Крафтвей, рассказав о существующих угрозах и закладках на аппаратном уровне и способах борьбы с ними, сделав акцент на технологии Secure Boot (UEFI).


Потом представитель Крафтвея рассказал о недостатках UEFI/Secure Boot, которые заключаются в невозможности сертификации их в ФСТЭК и сложностях ввоза оборудования с модулем TPM, на базе которого строится современная технология Secure Boot у многих производителей оборудования. Как решение этой проблемы Крафтвей предложил использовать разработанную ими аналогичную технологию Kraftway Secure Shell, которая хоть и "привязывает" потребителя к конкретному производителю, но зато обладает всеми нуными бумажками от регулятора.


Учитывая наличие блока по защите виртуализации в 17-м и 21-м приказах, наличие проекта ГОСТ по защите виртуализации и наличие сертифицированных средств защиты для виртуализированных сред (Cisco вот тоже сертифицирует свой Virtual Security Gateway под VMware, Hyper-V, Xen и KVM) эта тема уже не так остра как раньше.

А вот вторая тема более интересна - касается она безопасного (защищенного) программирования, которое стало актуальным после глупости, допущенной 8-м Центром ФСБ, включившем в ПП-1119 тему недокументированных возможностей в системном и прикладном ПО. Устранившись от решения этой проблемы, 8-й Центр переложил всю ответственность за разработку защитных мер на ФСТЭК. И если изначально ФСТЭК не очень понимала, как бороться с НДВ не в средствах защиты, то потом родились известные требования в 21-м приказе, которые помимо пентестов и сертификации на НДВ, ввели и декларацию производителя об использовании методов защищенного программирования, т.е. внедрении SDLC в процесс разработки ПО (выглядеть такая декларация может так).

Но данным абзацем в 21-м приказе дело не ограничилось и уже в 2013-м году впервые пошли слухи о разработке ГОСТа в рамках ТК 362 о защищенном программировании. Именно о проекте этого документа, который разрабатывается в НПО "Эшелон", и рассказывал Алексей Сергеевич Марков из "Эшелона".


ГОСТ по SDLC должен быть разработан в этом году, а его принятие запланировано на 2015-год. Тему качества ПО средств защиты информации поднял в своем докладе и Дмитрий Гусев из Инфотекса. Начал он с поднятия больного для всех разработчиков СЗИ вопроса - сертифицированная система защиты и безопасная - это синонимы или все-таки разные вещи?



Затем Дмитрий сделал экскурс в классические и современные методы разработки ПО, отдельно остановившись на agile-разработке; рассказал о неприменимости принятых методов оценки информационной безопасности ИТ-продукции (например, из ГОСТов 14508 и 18045) не применимы к agile-разработке ПО. В заключении своего доклада Дмитрий Гусев предложил учесть в разрабатываемом ГОСТ по SDLC agile-подходы. Кстати, и Алексей Марков приглашал к сотрудничеству желающих поучаствовать в разработке нового ГОСТа.


Вот такой насыщенной оказалась конференция ФСТЭК. Всего 4,5 часа докладов, а рассказ о мероприятии растянулся на целых 4 заметки. Такого заслуживала только пятидневная конференция в Магнитогорске, каждый день которой в прошлые годы я описывал отдельно. В этом году, думаю, будет тоже интересно и уже со вторника я начну прямой репортаж в Твиттере о том, что будут говорить регуляторы финансовой отрасли по вопросам информационной безопасности.

Пока же могу только отметить, что ФСТЭК взяв в конце 2012-го года отличный старт по разработке актуальной нормативной базы продолжает удерживать взятый темп и радовать своими документами. Старается не отставать от ФСТЭК Банк России, который выпустил несколько новых проектов своих стандартов. И только 8-й Центр продолжает жить своей непостижимой большинству специалистов по информационной безопасности жизнью, считая, что чем меньше документов будет разработано и опубликовано без грифа, тем меньше проблем будет у регулятора и более защищенной будет Российская Федерация. Виват!