Журнал "Information Security/ Информационная безопасность" #1, 2020

Современный рынок программных продуктов офисного назначения представляет собой динамичную среду с растущей конкуренцией. Продолжительная эво- люция офисных прило- жений породила опре- деленный подход к оцен- ке возможностей про- граммного обеспечения данного класса. В совре- менных российских реа- лиях существенным кон- курентным преимуще- ством является наличие сертификатов, позво- ляющих применять про- дукт в государственных организациях. Получе- ние такого сертификата возможно только при соблюдении ряда требо- ваний относительно: l происхождения продукта (согласно постановлению Пра- вительства РФ от 16 ноября 2015 г. № 1236 он должен быть российского производства) ¹ ; l его функциональности (поста- новление Правительства РФ от 23 марта 2017 г. № 325 регла- ментирует состав и перечень базовых функций офисного ПО) ² ; l безопасности. Если с первыми двумя пунк- тами определенная ясность при- сутствует, то проблема оценки безопасности информационной системы (равно как и входящих в нее отдельных программных продуктов) является предметом споров и обсуждений. Кто несет основной ущерб из-за небезопасного ПО? С точки зрения оценки рисков главной особенностью социаль- ной сферы является существен- но большая тяжесть убытков от компрометации системы у третьих лиц, чем непосред- ственных эксплуатантов. Напри- мер, определенные государст- венные услуги на портале www.gosuslugi.ru о благаются пошлиной. Объем этой пошлины зависит от вида и формы пре- доставления услуги, но очевид- но, что на ее исполнение тра- тится значительно больший ресурс. В случае неработоспо- собности сайта в течение одной недели отсутствие дохода от уплаты пошлин окажется суще- ственно меньшим злом, чем несвоевременная выдача загранпаспорта, просрочка пла- тежей с последующим начисле- нием пени и т.п. Но и эти убытки понесет несостоявшийся потре- битель услуги. Показательным примером является инцидент с обнаружением программы Stuxnet, результатом которого стала атака на энергосистему США. Энергетики понесли суще- ственно меньшие потери, чем потребители их услуг. Поэтому принятие Федерального закона от 26.07.2017 № 187-ФЗ "О без- опасности критической инфор- мационной инфраструктуры Российской Федерации" ³ является существенным собы- тием в сфере ИБ. Закон вводит новое понятие о КИИ как о среде, в рамках кото- рой функционирует информа- ционная система. Впервые допускается, что компрометация информационной системы может привести к утрате и поврежде- нию объектов материального мира, а возможный ущерб от этих действий носит не только прямой, но и косвенный харак- тер, проявляясь как в первом звене, так и в последующих звеньях цепочки потребителей услуг. Вполне естественно, что закон о КИИ далек от совер- шенства, а значит нормативно- правовая база будет постоянно развиваться, что неизбежно породит проблемы, характерные для переходного периода. 36 • ТЕХНОЛОГИИ Проблематика разработки программного обеспечения, функционирующего в рамках КИИ этой статье мы рассмотрим проблемы, связанные с разработкой программных продуктов офисного назначения для объектов КИИ, их соответствие требованиям регулятора, а также задачи переориентации технологии производства таких продуктов. За основу возьмем модель, в настоящий момент реализуемую в ООО “Новые Облачные Технологии”. В Александр Буравцов, директор по безопасности, “Новые Облачные Технологии” Александр Мелихов, системный инженер службы информационной безопасности, “Новые Облачные Технологии” 1 Постановление Правительства Российской Федерации от 16 ноября 2015 г. № 1236 “Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд”. 2 Постановление Правительства Российской Федерации от 23 марта 2017 г. № 325 “Об утверждении дополнительных требований к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения, и внесении изменений в Правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных”. 3 Федеральный закон от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”.