Журнал "Information Security/ Информационная безопасность" #2, 2025

– В 2022 г. я выступал на мероприятии, посвященном безопасной разработке, рассказывал о нашей работе, о подхо- дах, делился практикой и поднимал вопрос: почему так важно вовремя зани- маться безопасностью. И там же позна- комился с Дмитрием Пономаревым из "Фобос-НТ" и ИСП РАН, который и стал для меня проводником в новый мир: науки и технологий ИСП РАН и нашей отечественной регуляторики. Про меня и наши умения рассказали ответствен- ным коллегам и познакомили с Вартаном Падаряном, руководителем направления обратной инженерии бинарного кода ИСП РАН. Оказалось, во ФСТЭК России была задача: разработать стандарт по безопасной разработке с применением заимствованных компонентов. Тема важ- ная, острая, но без исполнителя. И вот коллеги из ИСП РАН рассказали о нашей экспертизе в этом направлении. Я никогда раньше не писал ГОСТы, но сказал себе: "Вызов принят. Погнали". И мы начали. Создалась рабочая группа. Я – главный автор проекта стандарта, но рядом со мной – Дмитрий Пономарев и Вартан Падарян. Мы работаем вместе. С нами также уважаемые компании, которые следят, чтобы мы не увлеклись и не написали ерунды: "Лаборатория Касперского", "Астра", "ИнфоТеКС" и другие. Работа продолжается и сейчас. Стандарт уже на финальной стадии. Это история про то, как путь из глубокой инженерной практики вдруг может при- вести в мир нормативов, регуляторики и государственной экспертизы – если у тебя есть что сказать. А лучше не ска- зать, а сделать. В процессе написания проекта стан- дарта было много личных открытий и полезного опыта: от работы с терминами и определениями до проверки примени- мости требований для организаций раз- ного типа. Кроме того, я иначе стал вос- принимать классические термины, одним из таких стала "поверхность атаки", которой я проникся с более инженерной точки зрения. Представление этого тер- мина можно прочитать в ГОСТ Р 56939– 2024. – Расскажите про петербург- скую ветку сообщества по без- опасной разработке. Как все началось? – Как водится, вышло это не по плану, а почти стихийно. Формально, конечно, в России уже давно существует большое профессиональное сообщество под эги- дой ИСП РАН и ФСТЭК России – SDL- сообщество. Исторически оно москов- ское: большинство участников, инициа- тив, встреч – все там, в столице. Но, как известно, Петербург – город живой, и айтишной крови здесь хватает. Однажды к нам в гости приехал Дмитрий Понома- рев и сказал: "Давай сделаем питерскую ветку? Ну, организуем что-то свое?". Я ответил просто: "А давай!". Это было года три назад. Так мы и стали соорга- низаторами. CodeScoring с самого нача- ла был в числе тех, кто это поддержал. Вместе с нами – "Фобос-НТ" (они, пожа- луй, играют здесь главную роль) и ком- пания YADRO, которая тоже активно включилась. Так родилось то, что мы теперь называем питерской веткой сообщества РБПО. Наши встречи – это не просто поси- делки в баре, а полноценное мероприя- тие по безопасности: всегда минимум три-четыре, а то и восемь выступлений, докладов. Мы делимся опытом, обсуж- даем практики, новые инструменты. Собираемся примерно дважды в год. Мы даже придумали собственный сим- вол – сделали флаг с игрой слов Saint- РБПО. С этим флагом прошлым летом мы катались по Неве на кораблике. В этом году уже провели весеннюю встречу и, скорее всего, соберемся еще раз, ближе к осени. Это неформальное, но очень живое сообщество: здесь встре- чаются программисты, тимлиды, спе- циалисты по безопасности приложений, владельцы продуктов, руководители высокого уровня – со штатом в 5 тыс. человек. Даже предприниматели прихо- дят – те, кому интересна безопасность как часть устойчивости бизнеса. Что особенно приятно–, здесь никто не отделен от других званием или долж- ностью. Все равны. Люди приходят, чтобы слушать, делиться, задавать вопросы. Это и есть настоящая профес- сиональная среда. Без ярлыков. – Какие у вас планы на бли- жайшую пару лет? – У нас случилось важное событие – мы открыли офис в Москве. Создаем представительство ближе к заказчикам, партнерам, коллегам и друзьям, которые находятся в столице, потому что чем плотнее общение, тем лучше понимание и живее диалог. При этом наша штаб-квартира оста- ется в Санкт-Петербурге. Именно там сосредоточен основной центр компетен- ций, наша инженерная сила, наша коман- да – нас уже более пятидесяти человек. Мы не просто поддерживаем текущие решения, но активно двигаемся вперед и создаем новое. В разработке находятся несколько новых модулей CodeScoring, которые дадут пользователям еще боль- ше гибкости, глубины и скорости при работе с безопасностью кода. Мы хотим, чтобы защита становилась не обузой, а естественной частью разработки. Бли- жайшие 2–3 года для нас – это время роста, созревания и расширения. Мы уже на этом пути. l • 11 ПЕРСОНЫ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: Инна Никитина