832
2
0
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
Назад

Почему сертификация ФСТЭК — это не короткий спринт, а игра вдолгую

Время чтения 1 минута
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
832
2
0
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники

Привет! Я Максим Рубан, руководитель направления информационной безопасности платформы корпоративных коммуникаций и мобильности eXpress. Расскажу о том, как быстро получить сертификат ФСТЭК. Для многих разработчиков даже в наше время процесс выглядит непонятным, приходится разбираться на ходу, из-за чего проведение сертификационных испытаний может затянуться на год и более. Как мы в eXpress готовились к сертификации, расскажу в статье.

Почему сертификация ФСТЭК — это не короткий спринт, а игра вдолгую

Сертификация ФСТЭК: что это и для чего нужно

Сертификация по требованиям ФСТЭК остается ключевым инструментом обеспечения информационной безопасности в России. Где бы ни находились ваше предприятие или организация, лицензирование и сертификация товаров и услуг, связанных с защитой конфиденциальности и безопасной обработкой данных, имеют важное значение. Сертификация ФСТЭК — это не только формальное требование, но и инвестиция в долгосрочную стабильность и успешность вашего бизнеса. Но многих пугает сертификация ПО, так как получение сертификата соответствия ФСТЭК — сложный и дорогой процесс. 

Помимо готовности программной документации ПО, описывающей функции безопасности, необходимо выстроить процесс безопасной разработки ПО, так как без этого процесс выполнения требований может затянуться на годы. Для передачи кодов и ПО нужно быть уверенным, что ПО не содержит уязвимостей, иначе сертификация обречена на провал. Специализированная лаборатория проводит испытания, направленные на различные виды тестирования, такие как: статический, динамический анализ кода, тестирование на проникновение, фаззинг-тестирование. Далее лаборатория, убедившись в соответствии требованиям ИБ, направляет материалы во ФСТЭК России. 

С чего следует начать 

Перед прохождением сертификации подробно ознакомьтесь с требованиями приказа ФСТЭК №76, проанализируйте их и заранее начинайте готовить пакет документов, которые необходимы для заявляемого уровня доверия. Также необходимо запросить ДСП (документ для служебного пользования) «Методика выявления уязвимостей и недекларированных возможностей» ФСТЭК России. В нем прописан перечень технических проверок, которые необходимо провести для подтверждения отсутствия уязвимостей и недекларированных возможностей. Среди них статический, динамический анализ, пентесты, фаззинг-тестирование. На этом этапе возникает самая большая сложность, так как неопытному разработчику трудно реализовать все предъявляемые методы тестирования. Разработка методики проведения испытаний значительно ускорит процесс и поможет разобраться в требованиях.

Согласно последним требованиям методики, испытательная лаборатория может принимать результаты тестирования непосредственно от разработчика ПО. Таким образом, зная предъявляемые требования, можно реализовать их выполнение заранее и на постоянной основе, скажем так, сделать интеграцию проверок в CI/CD.

Как мы организовали этот процесс и чего достигли

Мы в eXpress реализовали безопасную разработку ПО с интеграцией различных видов анализаторов в CI/CD. При каждой сборке выполняется динамический анализ, модульное тестирование, сбор покрытия, фаззинг-тестирование, статический анализ. Поэтому при необходимости проведения сертификации определенной версии нужно всего лишь выгрузить полученные артефакты из пайплайнов. Безусловно, первоначальное внедрение практик и их регламентация требует временных затрат, но оно окупает себя упрощением последующих процессов сертификации ФСТЭК и не только. 

eXpress — это единственный на текущий момент продукт класса «онлайн-коммуникации», который соответствует требованиям четвертого уровня доверия по безопасности информации, установленным в документах ФСТЭК России. Еще в 2020 году наш продукт успешно прошел сертификационные испытания на соответствие шестому уровню доверия ФСТЭК России. А осенью 2023 года по процедуре внесения изменений в сертифицированную версию получил подтверждение соответствия самому высокому уровню доверия — четвертому. Этот уровень применяют к средствам защиты информации, которые не предназначены для обработки сведений, составляющих государственную тайну.

Сертификация — это процесс, а не краткосрочная задача 

Сертификация ФСТЭК не является разовой акцией, ее не проходят для галочки в списке требований. Напротив, это непрерывный, динамический процесс, который требует внимательного планирования, преданности и тщательного следования протоколам безопасности и нормативам.

Работа не заканчивается после получения сертификата. Сертификация — это долгосрочный процесс управления и поддержания безопасности программного обеспечения. Это означает, что организация-разработчик должна продолжать мониторинг, обновление и улучшение защищенности своего ПО, чтобы оставаться безопасным продуктом и адаптироваться к непрерывно меняющемуся ландшафту угроз кибербезопасности. В том числе при разработке новых функций и последующем внесении изменений в сертифицированный продукт.

Сертификация требует постоянного внимания и усилий с учетом динамичного развития функциональности ПО. Она включает не только выполнение конкретного набора требований, но и приверженность культуре безопасности и активному управлению рисками. Однако результат стоит вложенных усилий: потребители сертифицированного ПО уверены в безопасности продуктов, а производители демонстрируют зрелость выстроенных процессов безопасной разработки.

Комментарии0
Тоже интересно
Комментировать
Поделиться
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники