Новости ИСП РАН


Новости ИСП РАН

02 Сентября, 2020

ИСП РАН провел круглый стол по кибербезопасности на форуме «Армия-2020»

24 августа в рамках форума «Армия-2020» ИСП РАН при поддержке Минобрнауки, РАН и ФСТЭК России провел круглый стол «Системное программирование как ключевое направление противодействия киберугрозам». Модератором выступил директор Института, академик РАН А.И. Аветисян. Целью дискуссии стало информирование о последних тенденциях в разработке технологий кибербезопасности в соответствии с новыми требованиями регуляторов, а также о применении разработанных технологий в области обеспечения информационной безопасности, защиты государственной тайны и конфиденциальной информации при создании (модернизации) новых образцов ВВСТ. Актуальность темы обусловлена тем, что развитие системы сертификации по требованиям безопасности информации и научная проработка требований ТТЗ (ТЗ) в этой области имеют высокую важность для Минобороны России, как заказчика проводимых НИОКР, и предприятий ВПК, выполняющих эти работы в рамках государственного оборонного заказа и инициативных работ. Разработка безопасного ПО c учетом специфики и нужд Минобороны России, а также повышенный уровень контроля на всех этапах сертификации – неотъемлемая часть завершающего этапа создания новых (модернизированных) образцов ВВСТ.

В работе круглого стола приняли участие более 80 человек. В их числе – директора, начальники отделов, а также ведущие специалисты компаний-разработчиков ПО и сертификационных лабораторий. Дискуссию открыл заместитель директора ФСТЭК России В.С. Лютиков, который отметил важность сотрудничества с ИСП РАН в целях эффективного решения методологических и технологических вопросов, а также напомнил о создании Центра компетенций в области кибербезопасности на базе Института.

В.С. Лютиков: «Мы попросили ИСП выступить научно-методологическим центром для оказания помощи лабораториям и разработчикам по внедрению механизмов безопасной разработки, и коллеги активно взяли этот процесс в свои руки. Мы со своей стороны это поддерживаем, потому что считаем, что у института есть научная школа и большой научно-технический задел».

Он рассказал также о развитии двух направлений совместной деятельности. Во-первых, это работа по созданию национальных стандартов безопасной разработки и «Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении» (утверждена ФСТЭК России в 2019 г.). К настоящему моменту подготовлена новая редакция этого документа, в которой упрощены и конкретизированы процедуры для сертификационных лабораторий. Второе важное направление – это проведение курсов повышения квалификации для сотрудников сертификационных лабораторий. В прошлом году обучение прошли около 60 человек. В октябре планируется запустить курсы по фаззинг-тестированию.

Тему нормативного регулирования продолжил сотрудник Академии ФСО России А.В. Козачок, который рассказал о решении синхронизировать работу испытательной лаборатории на базе Академии с требованиями ФСТЭК России:

А.В. Козачок: «Одной из наших задач является разработка средств защиты информации в интересах ведомства. Для того чтобы применять эти средства защиты информации внутри ведомства, мы руководствуемся требованиями ФСО России. Недавно ведомство приняло решение, что нам необходимо проводить исследования разрабатываемых нами средств по требованиям ФСТЭК России».

Для успешного выполнения новых требований нормативных документов в 2019 г. на базе Академии была организована лаборатория безопасного программного обеспечения совместно с ИСП РАН. В ближайшее время планируется начать внедрение технологий по обеспечению безопасной разработки приложений.

Генеральный директор АО «СИНКЛИТ» С.В. Хрыков в своем выступлении сообщил о практических результатах внедрения процессов жизненного цикла разработки безопасного ПО в компаниях-разработчиках в соответствии с новой «Методикой». «СИНКЛИТ» аккредитован в качестве испытательной лаборатории в системах сертификации средств защиты информации ФСБ и ФСТЭК России.

С.В. Хрыков: «Когда мы пришли с тем инструментарием, что у нас есть (а он базируется на инструментальных средствах ИСП РАН, это касается и статического анализатора, и фаззера), то получили следующие результаты. Оказалось, что количество программных дефектов разного уровня значимости, выявляемых в исходных кодах программных продуктов статическим анализатором Svace, достигает 10-100 тысяч, в зависимости от типа и размера продукта. Средства динамического анализа выявляют до 100 падений тестируемого продукта – с учетом падений при сработке санитайзеров. Разметка предупреждений и устранение подтвержденных дефектов, влияющих на защищенность разрабатываемых программных продуктов, непосредственно в ходе сертификационных испытаний существенно увеличивает время испытаний. Мы поддерживаем изменение методик сертификации в направлении большего контроля со стороны испытательных лабораторий и регулятора за внедрением на стороне заявителя практических процедур в рамках жизненного цикла безопасной разработки».

Он сообщил о встраивании средств статического и динамического анализа непосредственно в процессы разработки ПО и рассказал о создании сообщества из 12 компаний и 25 разработчиков, между которыми уже организован обмен лучшими практиками фаззинг-тестирования. Согласно данным лаборатории, главные оценочные результаты – это повышение качества разрабатываемого ПО, сокращение сроков сертификационных испытаний до 2-3 месяцев и уменьшение их стоимости на 20-40%.

Начальник службы сертификации, информационной безопасности и криптографии ООО «Код безопасности» Д.И. Задорожный также рассказал об опыте внедрения процессов жизненного цикла разработки безопасного ПО с 2016 г. По его словам, сейчас статический анализ и фаззинг-тестирование (в том числе с применением инструментов ИСП РАН Svace и Crusher) используются во всех проектах компании. За это время была протестирована большая часть основных модулей и подсистем. В результате удалось выявить ряд критичных проблем и своевременно их исправить.

Темой выступления президента консорциума «Доверенная платформа» А.И. Тихонова стала реализация комплексной научно-технической программы «Технологии доверия». Это стратегическое направление деятельности консорциума, в который наряду с другими компаниями и организациями входит и ИСП РАН. Тихонов отметил, что сейчас доля российской электронно-компонентной базы (ЭКБ) со встроенными российскими средствами доверия и безопасности составляет всего 10%. Согласно стратегии консорциума, к 2025 г. этот показатель планируется довести до 100%. По словам Тихонова, в ближайшее время доверенная разработка и сертификация затронут всех, поэтому необходимо изначально закладывать ресурсы на жизненный цикл разработки безопасного ПО.

Руководитель департамента перспективных технологий «Лаборатории Касперского» А.П. Духвалов рассказал о постоянном росте потока киберугроз и сопутствующем росте числа защитных технологий, а также отметил необходимость трансформации понятия Cybersecurity в Cyberimmunity. Для этого требуется создание доверенной среды, на каждом уровне которой есть свои методики и механизмы повышения уровня доверия.

А.П. Духвалов: «Злоумышленники действуют в легких условиях и определяют правила игры. ИБ-индустрия действует всегда в ответ на действия злоумышленников, реактивно. Нужен подход, который позволит изменить правила игры. Любая информационная система должна быть защищена от любого типа негативного воздействия«by design», без дополнительных «наложенных» средств».

В рамках круглого стола выступили также генеральный директор «Диджитал Зон» Д.К. Завалишин, технический директор ЗАО «Аладдин Р.Д.» К.О. Демченко, ведущий конструктор «Концерна «Созвездие» А.В. Литвинов, начальник отдела систем виртуализации и облачных технологий ООО «Базальт СПО» А.В. Шабалин, заместитель главного конструктора ИУС ПАО «Компания «Сухой» В.Г. Истомин, ведущий инженер ФГУП ГосНИИАС С.А. Автоманов, руководитель группы ЗАО НТЦ «Модуль» Л.Ф. Гореликов и др.

По итогам проведения круглого стола был принят ряд ключевых решений. Участники дискуссии отметили необходимость отражения в разрабатываемых новых стандартах и нормативных актах по тематике информационной безопасности и особенностей разработки безопасного ПО, создаваемого для систем с повышенными требованиями к надежности и отказоустойчивости. В частности, к таким системам относятся ОС РВ для авиации ВКС. Кроме того, они договорились консолидировать усилия по созданию специализированного сообщества для эффективной реализации госпрограмм по созданию и развитию ЭКБ. В частности, ИСП РАН организует Telegram-канал по информированию сообщества о ведущихся разработках и результатах научных исследований по всем аспектам, связанным с сертификацией и с технологиями жизненного цикла разработки безопасного ПО. Кроме того, экспертному сообществу было предложено активнее участвовать в работе по обсуждению стандартов и нормативных документов, разрабатываемых ФСТЭК России в рамках ТК 362. Также была подчеркнута важность использования единых инструментальных средств у разработчиков и сертификационных лабораторий.

В завершение встречи модератор дискуссии А.И. Аветисян предложил расширить состав круглого стола и привлечь к мероприятию больше экспертов из различных ведомств и отраслей ВПК, например, специалистов соответствующих направлений, учёных из научно-исследовательских организаций Минобороны России. Кроме того, он подчеркнул важность апробации технологических решений, предлагаемых научным сообществом, в компаниях-разработчиках, работающих в интересах ВПК. Получение качественной обратной связи от отрасли позволит улучшить как код разработчиков, так и сами решения.

Первый круглый стол по кибербезопасности был проведен ИСП РАН в рамках военно-технического форума в 2018 г.; второй – в 2019 г.


Все новости