Журнал "Information Security/ Информационная безопасность" #1, 2020

Важнейшим источником сведений о возможных угро- зах, связанных с эксплуата- цией облачных систем, является банк данных угроз (БДУ), размещенный на сайте ФСТЭК в открытом доступе. Фактически сейчас перед раз- работчиками отечественного программного обеспечения стоит задача переориентации процессов производства и сер- тификации продуктов в усло- виях с размытыми требования- ми, не имеющими четкой и одно- значной интерпретации. В связи с этим предлагается подход к решению указанной проблемы, разработанный в ООО "Новые Облачные Технологии" для ряда продуктов сервиса "Мой Офис". Помимо уже опубликованных законов и подзаконных актов, на федеральном портале раз- мещается информация о гото- вящихся законопроектах. Можно в реальном времени наблюдать различные этапы их прохожде- ния вместе с изменениями ⁴ . Стоит обратить внимание и на различные тематические сайты, где эксперты публикуют свои комментарии и мнения 5 – 8 . Как определить основные риски? Определим основные направ- ления угроз. В качестве пер- вичного критерия возьмем этап жизненного цикла, а в качестве вторичного – субъект, являю- щийся источником угрозы. В интересующем нас контексте под "производством" следует понимать не только само соз- дание программного кода, но и весь процесс, от формирования первичных требований к функ- циональности продукта до его непосредственной установки на "боевой" сервер. Специфика современной разработки такова, что этот процесс итеративен, т.е. внедрение новых функций в приложение, равно как и обновление на стороне потре- бителя, производится постоянно на всем процессе жизненного цикла продукта. В зарубежной практике данный подход назы- вается CI/CD (Continuous Inte- gration/Continuous Delivery). Важнейшим источником све- дений о возможных угрозах, свя- занных с эксплуатацией облач- ных систем, является банк данных угроз (БДУ), размещенный на сайте ФСТЭК ⁹ в открытом досту- пе. Стоит отметить, что публи- куемые материалы являются переводом CVE, при этом ссылки на оригинальные описания при- сутствуют. На основе данного перечня можно выделить несколько классов проблем, характерных для облачных реше- ний. В скобках будут даны ссылки на конкретные уязвимости. С чего начать производство? Цикл производства предпола- гает привлечение большого числа различных специалистов, поэтому первостепенную значи- мость принимает четкая поста- новка задач и контроль их выпол- нения. Так, требуется определить круг лиц, допущенных к про- граммному коду с целью лока- лизации угрозы внедрения в про- дукт сторонних компонентов, содержащих уязвимости (165, 188, 191). Далее, необхо- димо обеспечить целостность среды сборки и тестирования с целью минимизации возможно- сти несанкционированного вне- сения в ее конфигурацию изме- нений (012, 023). Стоит упомя- нуть отдельно угрозу внедрения системной избыточности (166) в сборке программного продукта, а также угрозу нарушения тех- нологии обработки информации путем несанкционированного внесения изменений в образы виртуальных машин (048), затра- гивающую продукты, формой дистрибуции которых являются docker-контейнеры. Особую проблему в данном контексте представляет утечка цифровых подписей (162). Эта ситуация опасна тем, что в слу- чае компрометации ключей раз- работчика под угрозу попадают не только собственные продук- ты, но и абсолютно любой про- граммный продукт, подписанный скомпрометированным ключом. Проблематика обеспечения безопасности облачных сервисов С точки зрения информацион- ной безопасности облачный сер- вис представляет собой сущ- ность с размытым периметром. В случае если не приняты орга- низационные и технические меры по ограничению перимет- • 37 РАЗРАБОТКА www.itsec.ru 4 Нормативные правовые акты [Электронный ресурс] // Федеральный портал проектов нормативных правовых актов. 2019. Дата обновления: 10.02.2020. URL: https://regulation.gov.ru/projects?type=Grid (дата обращения 10.02.2020). 5 Нормативные документы в области ГосСОПКА и безопасности КИИ [Электронный ресурс] // Positive Technologies. 2019. Дата публикации: 23.07.2019. URL: https://www.ptsecurity.com/ru-ru/research/knowledge-base/terminology-gossopka-kii-full- version/ (дата обращения 10.02.2020). 6 187-ФЗ. Практическое пособие по проведению работ связанных с выполнением требований 187-ФЗ “О безопасности объектов КИИ в РФ” [Электронный ресурс] // ООО “ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ”. 2019. Дата публикации: 29.04.2019. URL: https://www.ec - rs.ru/blog/all/187-fz-bezopasnost-obektov-kriticheskoy-informatsionnoy-infrastruktury-organizatsii/ (дата обращения 10.02.2020). 7 FAQ КИИ. Совсем коротко, но очень полезно о КИИ [Электронный ресурс] // ООО “ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ”. 2019. Дата публикации: 06.02.2019. URL: https://www.ec-rs.ru/blog/all/faq-kii-sovsem-korotko-no-ochen-polezno-o-kii/ (дата обращения 10.02.2020). 8 Обзор российского законодательства по защите критической информационной инфраструктуры [Электронный ресурс] // habr.com . 2019. Дата публикации: 27.11.2019. URL: https://habr.com/ru/post/477812/ (дата обращения 10.02.2020). 9 Банк данных угроз безопасности информации [Электронный ресурс] // ФАУ “ГНИИИ ПТЗИ ФСТЭК России”. 2020. Дата обновления: 06.02.2020. URL: https://bdu.fstec.ru/threat (дата обращения 10.02.2020). Вопросы, связанные с разра- боткой отечественного приклад- ного программного обеспечения для объектов КИИ, становятся актуальными как никогда. Так, проект приказа ФСТЭК России "О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные при- казом Федеральной службы по техническому и экспортному конт- ролю от 25 декабря 2017 г. № 239" предусматривает: 1. Запрет на осуществление технической поддержки программ- ных (программно-аппаратных) средств зарубежными организа- циями или организациями, нахо- дящимися под контролем ино- странных физических и (или) юридических лиц, что озна- чает неизбежный переход к использованию отечественного программного обеспечения в значимых объектах КИИ, прежде всего в информационных системах (лояльные к изменениям), а в последующем и автоматизированных системах управления (консервативные к изменениям). 2. Новые требования к безопасной разработке, выявле- нию уязвимостей и недкларированных возможностей в прикладном программном обеспечении, включающие анализ результатов моделирования угроз безопасности информации, анализ исходного кода статистическими и динамическими (для объектов КИИ первой и второй категории значимости) методами, вряд ли могут быть реализованы в отношении прикладного программного обеспечения зарубежных разработчиков. l Константин Саматов, Ассоциация руководителей служб информационной безопасности (АРСИБ) Комментарий эксперта

RkJQdWJsaXNoZXIy Mzk4NzYw