Журнал "Information Security/ Информационная безопасность" #6, 2019

Основным фактором бурного развития и н ф о р м а ц и о н н ы х систем является опера- тивное обновление про- граммного обеспечения. В свою очередь, повы- шение оперативности потребовало коренных изменений в технологи- ческой цепочке про- изводства программных продуктов: темпы раз- работки ускорились, уро- вень технической осве- домленности пользова- теля за последние 20 лет существенно вырос, потребители стали более ответственно выбирать решения. При этом важным конкурент- ным преимуществом является наличие технической поддержки и возможности устранять ошибки и расширять функциональность программ- ных систем в режиме непре- рывного обновления. Возникли такие понятия, как CI (Continu- ous Integration – постоянная интеграция, оперативное рас- ширение функциональности) и CD (Continuous Delivery – посто- янная поставка, в значении "дистрибуция"), а также обоб- щенное понятие CI/CD. Концеп- ция организации технологиче- ского процесса, в которой реализуется CI/CD, получила название DevOps (Development Operations). От DevOps к DevSecOps В основе DevOps лежит мето- дология гибкой разработки про- граммных продуктов. Гибкость предполагает жесткое разде- ление полномочий между участ- никами процесса при высокой степени автоматизации процес- сов сборки, тестирования и раз- вертывания. Применение дан- ного подхода позволяет созда- вать масштабные программные продукты, делегируя задачи производства и контроля каче- ства сравнительно небольшим командам специалистов, нара- щивая по мере увеличения числа программных модулей количество команд и перерас- пределяя их полномочия. Основной (и на данный момент неразрешенной) про- блемой гибкой разработки является обеспечение безопас- ности производственного про- цесса. Локус внимания экспер- тов по безопасности DevOps направлен на то, чтобы не дать потенциальному злоумышлен- нику внести в работающую систему изменения, которые приведут к изменениям в логике обработки информации – повы- шению привилегий доступа с последующим изменением, уда- лением и/или разглашением хранящихся в системе сведений об объектах реального или вир- туального мира. Однако сама среда предприятия, в рамках которой производится разра- ботка программных продуктов, также может стать объектом исследования, а затем и атаки. По мере того как данное явле- ние стало массовым, назрела необходимость включить в спи- сок объектов защиты среду не только функционирования, но и разработки. Так зародилась концепция DevSecOps, которая основана на поддержке без- опасности системы с момента создания среды для ее разра- ботки. В настоящий момент DevSec- Ops стала трендом, набирающим все большую популярность – проводятся семинары, конфе- ренции. Но полноценная реали- зация данной концепции невоз- можна при противоречиях с дей- ствующим законодательством. Актуальные законодательно-правовые акты в части защиты информации Прежде чем перейти к ана- лизу текущего правового поля, следует сделать одно важное замечание. Несмотря на внеш- нюю новизну тренда DevSec- Ops, схожие требования к про- цессу разработки, отладки и развертывания программных продуктов применялись и ранее, однако в основе мотивации к их практической реализации была ненадежность аппаратного и алгоритмического обеспечения. Например, контроль четности создавался как механизм обес- печения гарантированной пере- дачи данных по каналам связи, а логические ошибки в про- граммном коде могли быть результатом не злого умысла, но недоработкой конкретного языка программирования (при- 38 • ТЕХНОЛОГИИ Проблемы реализации концепции DevSecOps в действующем нормативно-правовом поле данной статье приводится анализ актуального среза законодательно-правовых актов в сфере защиты информации с точки зрения обеспечения безопасности процесса непрерывной разработки и интеграции программных продуктов в рамках реализации концепции DevOps. В ней также рассмотрены актуальные законные акты, проведена оценка их практический реализуемости и опреден ряд критических вопросов, подлежащих дальнейшему анализу. В Александр Буравцов, руководитель службы информационной безопасности компании “Новые Облачные Технологии” Александр Мелихов, системный инженер службы информационной безопасности компании “Новые Облачные Технологии”