Недавно ЦБ утвердил методический документ «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», согласно которому любое обновление ПО или приложений должно подтверждаться на соответствие госстандарту в спецлабораториях. Мы спросили экспертов в области ИБ, повлияют ли новые требования на работу разработчиков ПО и реально ли применить их в жизни.
Большинство опрошенных экспертов положительно отозвались об инициативе ЦБ: документ является нужным и суммирует положительную практику проверки кода, существующую уже давно. Также отмечается, что это просто нормальное циклическое развитие: на рынке появилась какая-то определённая инициатива, она даёт свой положительный результат, регулятор это отслеживает и дальше делает её обязательной для всех.
«Вообще здесь ничего нового нет. Это давно принятая практика. Есть специальные подходы по безопасной разработке, когда специальный инструментарий, специальная процедура встраивается именно в процесс разработки», - сказал директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Он отметил, что подобной практике уже лет 15 и что все крупные вендора давно следуют процессу безопасной разработки. Его коллега, заместитель генерального директора Positive Technologies Борис Симис также сказал, что проверка ПО на уязвимости «традиционная услуга, востребованная кредитными организациями с высоким уровнем зрелости, которая теперь становится обязательной для всех финансовых организаций».
Кроме того, новый документ «Профиль защиты...» подробно описывает, как именно нужно проводить анализ уязвимостей. Для России это первый опыт обязательного нормативного документа, подобная конкретизация была только в системе сертификации. При этом процедура анализа уязвимостей предполагает, чтобы разработчики ПО должны проводить такой анализ самостоятельно, в рамках жизненного цикла разработки своих продуктов. Однако эту проверку могут делать и экспертные компании, имеющие соответствующую лицензию.
«Мы не ожидаем, что разработчики банковского ПО начнут массово проводить сертификацию своих решений, так как из всего объёма сертификационных испытаний фактически требуется только проведение анализа уязвимостей и недекларированных возможностей», - сказал Борис Симис.
Вместе с тем он отмечает, что документ подхлестнул рынок Application Security и уже сейчас отмечается большая конкуренция и нехватка исполнителей. Эксперты крупной компании в сфере ИБ (таких на российском рынке четыре-пять) могут сделать за год 30–50 анализов защищённости, а у каждого банка из первой десятки подобных приложений может быть 15–20. И эти приложения регулярно обновляются, что требует дополнительных проверок на уязвимости. «Если у вас много приложений и вы часто выпускаете обновления, выгоднее будет построить у себя процесс безопасной разработки», - добавил Борис Симис.
С ним согласен и заместитель генерального директора по технологиям и развитию Angara Technologies Group Дмитрий Пудов.
«Это («Профиль защиты...») посыл в сторону компаний, которые занимаются разработкой, потому что они должны уже на этапе разработки закладывать определённые механизмы, процессы и проводить определённые проверки. Но это оптимальный вариант. В целом, с точки зрения требований, могут привлекаться и компании, обладающие соответствующей лицензией и пунктами. Но ничто не мешает разработчикам тоже становиться лицензиатами», - сказал Дмитрий Пудов.
Он также добавил, что требования к процессам, которые описаны в «Профиле защиты...», «очень сильно нагрузят процесс разработки в том числе». «Но с другой стороны правильно, что регулятор подталкивает разработчиков к соблюдению требований по безопасности», - заключил Дмитрий Пудов.
Представители Positive Technologies тоже не увидели предпосылок для того, чтобы с течением времени прописанные в документе требования не начали выполняться.