Журнал "Information Security/ Информационная безопасность" #5, 2021

Так мы пришли к процессу, который успешно функциониру- ет более четырех лет: в МойО- фис сформирована отдельная инженерная команда, которая, используя кодовую базу основ- ного центра разработки, фор- мирует дистрибутивы сертифи- цированных версий продуктов и выполняет сопровождение процессов сертификации. Нам удалось наладить гори- зонтальное взаимодействие между инженерами по выпуску сертифицированных редакций продуктов и основными разра- ботчиками приложений. Таким образом, мы не только повыси- ли экспертизу и понимание тех процессов, которые существуют на рынке сертифицированного ПО у наших разработчиков, но и достаточно серьезно сокра- тили сроки проведения инспек- ционного контроля сертифици- рованных редакций. Для части продуктов такой срок состав- ляет меньше одного релизного цикла, что является очень хоро- шим показателем на россий- ском рынке сертифицирован- ного программного обеспечения и средств защиты информации. – В чем сложность сер- тификации комплексного облачного продукта? Почему МойОфис можно считать защищенным при- ложением? – В первую очередь слож- ность сертификации комплекс- ного облачного продукта заклю- чается в программной базе, на которой предстоит эксплуати- ровать наши приложения. Коммерческие версии МойОфис активно используют контейнеризацию. Применение данной технологии позволяет нам создавать современные, масштабируемые, высоконагру- женные системы. В то же время в сертифицированных опера- ционных системах поддержка контейнеризации до сих пор официально не реализована. Вероятно, это связано с отсут- ствием однозначной позиции регуляторов по корректной реа- лизации и проверке механизмов безопасности. Поэтому нам приходится изменять продукты, которые используют контейнеризацию, и осуществлять условный "даун- грейд" для сертифицированных решений. С одной стороны, это некоторое упрощение и умень- шение возможностей создания сверхбольших и нагруженных систем. С другой стороны, это позволяет создать приложения, удовлетворяющие всем требо- ваниям текущего законодатель- ства в области информацион- ной безопасности. Наши процессы не ограничи- ваются только compliance-про- верками на соответствие тре- бованиям, мы также инвести- руем ресурсы в независимые аудиты и проводим тесты на проникновение, которые интег- рированы в производственный цикл. Кроме того, мы проводим интеграции с различными СЗИ, представленными сегодня на рынке РФ. Отличительной особенностью продуктов МойОфис является возможность работать в изоли- рованном контуре без подключе- ния к сетям общего доступа. Этим мы значительно отлича- емся от конкурентов: большин- ство крупных мировых компаний, которые делают прикладное и офисное ПО для работы с доку- ментами, стремятся сейчас пере- водить инфраструктуру заказ- чика в собственные публичные облака. Это не только привязы- вает пользователя к конкретному решению и значительно снижает гибкость использования инстру- ментов, но и увеличивает риски информационной безопасности в части раскрытия и утраты кон- фиденциальных данных. – Расскажите про жиз- ненный цикл сертифици- рованных продуктов. Как вы оцениваете динамику требования по сертифи- кации? – С одной стороны, жизнен- ный цикл сертифицированных продуктов сильно зависит от производственных процессов выпуска обычных коммерческих версий, а с другой – в рамках его поддержки появляются дополнительные участники про- цесса в лице органа по серти- фикации и испытательной лабо- ратории. Выстроенные процес- сы взаимодействия команды по сертификации и основных про- изводственных подразделений позволяют существенным обра- зом сократить тот временной разрыв, который необходим для получения положительного решения по инспекционному контролю (сертификации) на новую версию продукта. Затрачиваемое на сертифи- кацию (инспекционный конт- роль) время, безусловно, является не только организа- ционными "накладными расхо- дами". В дополнение к приме- няемым при разработке инстру- ментам безопасности мы про- водим и дополнительные иссле- дования в соответствии с пра- вилами сертификации средств защиты информации. Для таких исследований мы используем одобренные регулятором сер- тифицированные продукты. Затем мы вносим изменения в эксплуатационную документа- цию, которую готовим на основе документов обычных коммер- ческих версий. После этого про- водим дополнительную сборку приложений в том окружении, которое соответствует требо- ваниям регулятора и текущим подходам к сертификации. – Уфаззинга особая роль? – Можно сказать, что фаззинг стал мейнстримом после выхо- да новых требований ФСТЭК. Однако мы еще четыре года назад начали применять фаз- зинг для анализа наших прило- жений. Мы уже тогда понимали, что для продуктов такого класса фаззинг с целью поиска уязви- мостей просто необходим, ведь сертифицированное офисное ПО используется для обработки крайне чувствительных данных. Фаззинг – это крайне важный процесс, но, к сожалению, в нашей стране экспертов в этой области практически нет. Фаз- зинг сложно внедрить как с тех- нологической точки зрения, так и с ресурсной. Например, чтобы обеспечить необходимое для нас покрытие, компании потребова- лось создать собственные касто- мизированные решения, кото- рые используют и разные фаз- зеры, и различные подходы к фаззингу. Когда мы начинали эту работу, то и не предполагали, насколько тяжело будет ее выполнить. С другой стороны, мы получили серьезную экспер- тизу, что будет хорошим под- спорьем в дальнейших работах. 48 • ТЕХНОЛОГИИ Коммерческие версии МойОфис активно исполь- зуют контейнеризацию. Применение данной техно- логии позволяет нам созда- вать современные, масшта- бируемые, высоконагружен- ные системы. Отличительной особен- ностью продуктов МойОфис является возможность рабо- тать в изолированном конту- ре без подключения к сетям общего доступа. Фаззинг стал мейнстри- мом после выхода новых требований ФСТЭК. Однако мы еще четыре года назад начали применять фаззинг для анализа наших прило- жений.

RkJQdWJsaXNoZXIy Mzk4NzYw