Журнал "Information Security/ Информационная безопасность" #5, 2021

• 47 БЕЗОПАСНАЯ РАЗРАБОТКА www.itsec.ru МойОфис использует обязательные требования текущей версии государст- венного стандарта по без- опасной разработке. В своей деятельности мы стараемся не ориенти- роваться на какой-то один набор требований, а смот- рим на различные суще- ствующие на рынке прак- тики. Мы привлекаем внешних специалистов, они помо- гают внедрить передовые мировые практики в суще- ствующие процессы разра- ботки. – Александр, насколько критичен вопрос безопас- ности программного про- дукта? – Практически с самого нача- ла существования компании мы уделяем большое внимание вопросам безопасности при разработке приложений. При- ложения МойОфис используют- ся на широком спектре устройств, и зачастую корпо- ративные пользователи рабо- тают со служебной и конфи- денциальной информацией, а также обрабатывают персо- нальные данные. Поэтому наши продукты не только соответ- ствуют требованиям, которые определены регуляторами, но и разрабатываются в соответ- ствии с высокими отраслевыми стандартами и критериями качества в области информа- ционной безопасности. – Какую методологию безопасной разработки вы используете? – МойОфис использует обя- зательные требования текущей версии государственного стан- дарта по безопасной разработ- ке, поскольку является компа- нией-лицензиатом в российских системах сертификации, как Федеральной службы безопас- ности, так и Федеральной служ- бы по техническому и экспорт- ному контролю. Мы выстроили процессы и регламентировали процедуры проверки на наличие уязвимостей, отработки замеча- ний, тестирования и т.д. В то же время мы понимаем, что для работы на глобальном рынке недостаточно ограничи- ваться одними лишь требова- ниями российских регуляторов. Например, в рамках программы предустановки наших прило- жений на компьютеры и смарт- фоны, которая стартовала в России в апреле 2021 г., мы столкнулись с наличием собст- венных требований к безопас- ности разработки у всех круп- ных иностранных производи- телей аппаратного обеспече- ния, которые часто более серь- езные, чем национальные стан- дарты. В своей деятельности мы ста- раемся не ориентироваться на какой-то один набор требова- ний, а смотрим на различные существующие на рынке прак- тики и постоянно проводим работу над совершенствовани- ем внутренних процессов обес- печения безопасности с целью их оптимизации под изменяю- щийся ландшафт угроз. – Вы используете внут- реннюю компетенцию для настройки процесса без- опасной разработки или привлекаете внешнюю экспертизу? – При разработке решений МойОфис мы придерживаемся комбинированного варианта. В нашей команде есть спе- циалисты, которые не только владеют методологией про- цессов безопасной разработки программного обеспечения в целом, но и понимают особен- ности наших приложений. Оче- видно, что только лишь штат- ными сотрудниками невозмож- но полностью покрыть все потребности, возникающие в рамках работы с фреймворка- ми и различным инструмента- рием обеспечения безопасно- сти, с учетом активного роста данного направления. Поэтому мы привлекаем внешних спе- циалистов, они помогают внед- рить передовые мировые прак- тики в существующие процес- сы разработки. Такую работу МойОфис поручает только наиболее экспертным коман- дам, которые сегодня есть на рынке. – Как вы приори- тизируете работы по устранению о б н а р у ж е н н ы х уязвимостей в про- дуктах? – У нас есть внутрен- нее соглашение об уров- не оказания услуг (SLA), оно соответствует мировым практикам и требованиям рос- сийского законодательства. Соглашением жестко опреде- лены сроки для устранения уязвимостей и дефектов, свя- занных с информационной без- опасностью. Наши процессы выстроены таким образом, чтобы полностью выдерживать заявленные временные интер- валы. – Как вы поддерживаете сертифицированную вер- сию пакета МойОфис – выделяете отдельный центр разработки? – Выпуск сертифицированных версий продуктов МойОфис был начат нами еще в 2016 г. Тогда мы думали, что нам удастся совместить работы по сертификации и подготовке сер- тифицированных версий наших продуктов в тех же производ- ственных центрах, что ведут разработку основных версий продуктов. Эта гипотеза, к сожалению, оказалась ошибоч- ной, в первую очередь из-за особенностей технологического стека, который пока не в полной мере позволяет выдерживать сроки подготовки сертифици- рованных редакций из-за среды функционирования таких про- дуктов. Не секрет, что в текущих сборках сертифицированных операционных систем некото- рые компоненты (в силу осо- бенностей организации процес- са сертификации) достаточно сильно отстают от используе- мых в аппстриме. МойОфис совмещает функциональность и безопасность лександр Буравцов, директор по безопасности МойОфис, рассказал о том, как успешно организовать безопасную разработку, как сформировать эффективную команду, о сложностях сертификации облачного продукта, о фаззинге и многом другом. А Александр Буравцов, директор по безопасности МойОфис