Александр Буравцов, МойОфис: Процесс сертификации занимает не один день

Сертификация – тренд 2022 года среди российских ИТ-компаний. О нюансах получения сертификатов безопасности и тесном взаимодействии с регуляторами рассказал порталу Cyber Media Александр Буравцов, директор по безопасности компании МойОфис.

О спикере:

Обладает 17-летним опытом работы в сфере кибербезопасности, включая 5-летний стаж работы в одном из действующих в России регуляторов сферы информационной безопасности. За время профессиональной деятельности руководил проектами в части информационной безопасности по созданию, развитию и эксплуатации крупных государственных информационных систем. С 2015 года возглавляет направление информационной безопасности МойОфис, где курирует направления развития инфраструктуры защиты данных, поиска уязвимостей в продуктах компании, сертификации ПО на соответствие требованиям регуляторов и безопасной разработки программного обеспечения.

Cyber Media: Каковы основные требования регулятора по сертификации ПО? Сколько занимает этот процесс? Как можно его ускорить и сократить издержки на пути?

Александр Буравцов: Сертификация проводится в соответствии с требованиями «Положения о системе сертификации средств защиты информации», которые утверждены приказом ФСТЭК России № 55 от 03.04.2018. Процесс зависит от многих участников: заявителя, лаборатории, органа по сертификации и регулятора, сильно влияет сложность архитектуры самого продукта.

Говорить о возможности максимального ускорения сроков проведения сертификации можно только тогда, когда процесс безопасной разработки программного обеспечения на стороне вендора находится на высоком уровне развития. Наличие зрелых процедур, применение специализированных средств и подходов при разработке, позволяет сильно сократить работу с испытательной лабораторией.

Еще один немаловажный фактор – наличие у заявителя (производителя) внутренней экспертизы по сопровождению работ по сертификации. Если внутренняя экспертиза есть, то можно не только готовить продукты в соответствии со всеми актуальными требованиями регулятора по описаниям, документации и проверке продуктов, но и на одном языке общаться со сторонними экспертами на всех этапах процесса сертификации.

Процесс сертификации занимает не один день, но мы понимаем, что это важная часть процесса создания безопасного программного обеспечения. Информационная безопасность заложена на уровне архитектуры продуктов МойОфис, что гарантирует заказчикам контроль над данными и высокий уровень защиты от утечек информации. Сегодня, например, мы – единственный российский разработчик, который целиком сертифицировал офисное облачное решение. Что вместе с успешным прохождением сертификационных испытаний другими офисными продуктами компании позволяет считать МойОфис единственным защищенным российским офисом, безопасность которого подтверждена ФСТЭК России.

Cyber Media: Какие заметные изменения в требованиях по сертификации за последнее время стоит учитывать компаниям?

Александр Буравцов: Сложные многокомпонентные изделия с большим количеством подсистем требуют уникальный подход. Разработчикам необходимо применять целый пул мер квалификационного тестирования:

• функциональное тестирование;
• тестирование на проникновение, включая статический анализ кода;
• динамический анализ;
• фаззинг-тестирование.

Реализация проверок исходного кода статическими анализаторами или фаззинг-фермы требует больших вложений от компаний, причем не только финансовых, но и экспертно-временных.

Отдельно нужно заметить, что последние изменения требований по сертификации концентрируются на усилении требований по использованию практик безопасной разработки программного обеспечения при создании продуктов, поэтому если у компании не внедрены такие практики, то вероятно возникновение определенных трудностей при прохождении сертификации. В тоже время, компании с сильными практиками SSDLC, как правило, подходят к сертификации в лучшей готовности – изменения, которые происходят в процессе сертификации оказывают на них минимальное влияние.

Cyber Media: Ранее вы говорили, что ваша компания пришла к необходимости выделить отдельный центр разработки для развития сертифицированных продуктов. Расскажите подробнее о том, как вы пришли к этому решению, какие причины вас к этому подтолкнули и какие выводы удалось сделать?

Александр Буравцов: Выделение отдельного центра разработки для развития сертифицированных продуктов позволило агрегировать проверки по безопасности продуктов в едином центре экспертизы. Это позволяет разработчикам, используя на уровне компании единые требования по безопасности, проводить работы по созданию и развитию продуктов без погружения в несвойственные им области, связанные с дополнительными особенностями подготовки продуктов к сертификации.

Использование такой модели позволяет МойОфис не только применять передовые подходы при создании продуктов и обеспечении их безопасности, но и поддерживать отдельную линейку сертифицированных продуктов. Такие решения необходимы для клиентов, которым важно наличие официального подтверждения в виде сертификата о соответствии наших продуктов требованиями по информационной безопасности.

Другой важный момент связан с тем, что наши решения работают в среде сертифицированных российских операционных систем, которые, к сожалению, часто имеют технологические ограничения. Адаптация под такие ОС наиболее эффективна как раз в рамках отдельного подразделения, в котором может быть сформирована профильная экспертиза, используемая всеми командами разработки.

Cyber Media: С точки зрения DevOps, есть ли какие-то особенности разработки сертифицированного ПО?

Александр Буравцов: В целом, таких особенностей нет. Многие задачи сильно схожи, но важно понимать что в каждом конкретном случае присутствуют свои нюансы. В первую очередь, они связаны с требованиями по использованию отдельных специализированных инструментов и подходов, определяемых требованиями регламентирующих документов.

Cyber Media: Каковы особенности жизненного цикла сертифицированных продуктов?

Александр Буравцов: Построение и совершенствование жизненного цикла продуктов МойОфис основано на применении процессного подхода по модели ISO 9001 (ГОСТ Р ИСО 9001-2015), с учетом принципов ISO 9000 (ГОСТ Р ИСО 9000-2015) и системы рекомендаций и описаний процессов жизненного цикла ПО в стандарте ISO 12207 (ГОСТ Р ИСО/МЭК 12207-2010).

Для сертифицированной линейки МойОфис определена долгосрочная стратегия развития, в рамках которой составляется высокоуровневый план на год. Новые версии (релизы) сертифицированных продуктов выпускаются, в среднем, со скоростью 1 – 2 раза в год. Годовой план детализируется и корректируется для каждой выпускаемой версии.

Отдельно важно отметить, что жизненный цикл сертифицированных версий продуктов, как правило выше, чем у коммерческой линейки продуктов. В случае с продуктами МойОфис, такой срок составляет как минимум 5 лет, в течение которых действует сертификат и еще год после окончания срока его действия. Поэтому, с точки зрения процессов, выпуск и поддержка сертифицированных версий накладывает на разработчика дополнительные требования по долгосрочному хранению сопутствующей инженерной информации, сборок и экспертизы внутри компании.

Cyber Media: Ваш прогноз относительно развития российского рынка разработки и создания сертифицированных продуктов, в частности?

Александр Буравцов: Российский рынок разработки и создания продуктов  – одна из наиболее быстроразвивающихся отраслей. Регуляторы, несомненно, выступают драйверами рынка ИБ, а компании пытаются соответствовать требованиям закона. Следование директиве «О преимущественном использовании отечественного «программного обеспечения» позволяет отечественным ИБ решениям занимать более плотную нишу. Отмечается явный тренд на кибербезопасность АСУ ТП и КИИ, по которым вышло много новых требований со стороны регуляторов, и наблюдается явная заинтересованность именно в сертифицированных решениях.