Журнал "Information Security/ Информационная безопасность" #4, 2024

Особенностью проектов во многих случаях являются масштаб разработки и сложная архитектура ПО, состоящего из нескольких взаимодействующих доверенных приложений, разработан- ных разными командами, возможно, на разных языках программирования. Ожи- даемая длительность эксплуатации таких систем составляет десятки лет при необходимости внесения изменений в доверенное ПО без остановки его использования. Эти факторы действуют одновремен- но, в разной степени для разных отрас- лей и требуют отработки вопросов соз- дания такого ПО как технологически (на уровне регламентации процессов), так и на уровне формирования инструмен- тальных комплексов для автоматизации. Такие автоматизированные технологи- ческие процессы должны функциониро- вать в течение длительного периода и в разрабатывающей, и в эксплуатирующей организациях. Нормативная база (ГОСТ Р 56939– 2016 и последующие по этому направле- нию от ТК 362) и уровень освоения спе- циалистами отрасли современных мето- дов разработки предполагают, что суще- ственное повышение качества обнару- жения уязвимостей и недекларированных возможностей может быть достигнуто на основе применением комплекса инстру- ментальных средств как разработчиками, так и специалистами, осуществляющими интеграцию, эксплуатацию и сопровож- дение прикладного ПО. Стратегически внедрение автомати- зированного технологического процесса позволит: 1. Получить инструменты для быстрого и глубокого анализа наличия уязвимо- стей в разрабатываемом, сопровождае- мом или развиваемом приложении, одновременно повысив квалификацию персонала, который этим занимается. 2. Разработать и реализовать систем- ное решение в области реализации доверенного ПО. 3. Поставить под контроль количество и качество заимствованных компонентов свободного ПО и используемых библио- тек Open Source. Вместе с тем средства автоматизации, доступные на рынке, являются довольно сложными с точки зрения их освоения, осмысления их технологических особен- ностей и возможности использования в конкретной организации. К тому же в настоящее время в отраслях пока еще не образованы службы, ответственные за технологию создания, сопровождения и развития доверенного ПО. Они еще только формируются с учетом особенно- стей технологии ведения работ, возмож- ностей инструментальных средств и режи- мов их использования. Стоит отметить, что инструментальные средства покупаются для проекта на все время жизненного цикла ПО: то есть на 10–20 лет в зависимости от типа разрабатываемой системы. С этой точки зрения приобретение комплекса инстру- ментальных средств – это стратегиче- ские инвестиции в технологию жизнен- ного цикла доверенного ПО, а также и в его качество. Но в настоящее время для решения задачи поиска уязвимостей заказчик, по сути, может приобрести только набор инструментов, который ему самостоятель- но придется встраивать в свою инфра- структуру, попутно ее совершенствуя. Отдельные инструментальные средства необходимо интегрировать между собой в рамках технологического процесса. Это весьма трудоемкая работа, которая тре- бует довольно высокой квалификации системных администраторов, технологов по разработке безопасного ПО и по изуче- нию инструментальных средств. Естественно, инструментальные сред- ства внедряются медленно, снижая ожи- даемую эффективность на начальном этапе. Возможен ли другой подход? Альтернативным решением может стать продукт, в котором заранее интегрирова- ны несколько инструментальных средств. Интеграция предполагает согласование типовых технологических сценариев при- менения инструментальных средств при выполнении некоторых фрагментов тех- нологического процесса, актуальных для типовых архитектур ПО и стадий его сопровождения или развития. В таком случае заказчику не нужно осуществлять работы по интеграции инструментальных средств, поскольку это уже сделано поставщиком с участием опытных систем- ных администраторов, вендоров и под- тверждено комплексными тестами. Дополнительно можно получить от интег- ратора курсы переподготовки и пилотные проекты на собственных примерах. Такое решение реализовано в рамках разработанной совместно компанией ЕС-лизинг (интегратор) и ИСП РАН авто- матизированной системы "Центр Кибер- безопасности" (АС ЦКБ). АС ЦКБ являет- ся результатом интеграции преимуще- ственно отечественных инструменталь- ных средств компаний ИСП РАН, "Про- фископ", работающих в средах ОС Альт и Astra Linux, а также включает необхо- димые официальные версии компиля- торов С, С++, Java (Axiom JDK), Go, Python. В качестве СУБД используется PostgreSQL Enterprise. АС ЦКБ оснащена комплектом доку- ментации, в том числе технологической. Разработаны учебные курсы по примене- нию основных инструментальных средств, готовится их версия для преподавания специалистами МИЭМ НИУ ВШЭ с выда- чей государственных сертификатов о про- хождении программ обучения и перепод- готовки. В процессе обучения все участ- ники работают на защищенном стенде и используют тестовые примеры на выше- указанных языках общим объемом поряд- ка 5,5 млн строк. l 60 • ТЕХНОЛОГИИ Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО роблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства. П Борис Позин, технический директор ЗАО “ЕС-лизинг”, д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: ЕС-лизинг