Регулятор и пустота. В топе тем — ​безопасное программирование

Регулятор и пустота. В топе тем — ​безопасное программирование

В определённые времена возникают темы, которые проходят общей нитью через множество разных по своей проблематике ИТ&ИБ-конференций. В последние годы это была, например, тема «обращения» с КИИ в свете требований 187-ФЗ. 

Постепенно, благодаря активной просветительской работе ФСТЭК и Центробанка, понимание этого вопроса вышло на должный уровень и работы двинулись по накатанной колее. Сегодня в топ тем подняты вопросы «безопасного программирования». Этой проблематикой весьма озабочен регулятор, и эта озабоченность передаётся рынку, что продемонстрировала, например, дискуссия на конференции «Информационная безопасность 2020: новые технологии — ​новые риски».

РЕГУЛЯТОРЫ ХОТЯТ КАК ЛУЧШЕ

Это мероприятие представило в некотором смысле «репрезентативную выборку» рынка. Было, что называется, «каждой твари по паре»: выступили с докладами представители ЕВРАЗ и Росводоканала, были сообщения от пары организаций финансово-инвестиционной направленности, выступили представители НИИ Восход и ДИТ Москвы, рассказали о своих продуктах и услугах несколько компаний, чей бизнес связан с финансовым «здоровьем» ИБ-бюджетов организаций.

В ходе финальной дискуссии обсудили, как водится, регуляторов, которые планомерно обуздывают бурсацкую ИТ-вольницу, направляя её в русло обычной для развитых стран технической и социальной регуляторики. И вот в ходе этой дискуссии и были озвучены опасения в связи с активизацией работ по внедрению «нормативки» в сфере программирования. Некоторых экспертов возбудило то обстоятельство, что финансовый регулятор выбрал курс на теснейшее сотрудничество с ФСТЭК.

Этим государственным мегарегулятором 11 февраля 2019 года утверждена методика выявления уязвивмостей и недекларированных возможностей в ПО. И фактически под эгидой ФСТЭК актуализируется ГОСТ Р 56939–2016, формализующий общие требования к разработке безопасного ПО, а также готовятся ГОСТы, призванные стать руководствами по разработке безопасного ПО, по оценке безопасности разработки такого ПО, по управлению безопасностью ПО при заимствовании программных компонентов.

ЖЁЛТЫЙ ГЛАЗ ОЖИДАНИЯ

Для agile-ориентированных команд, разрабатывающих финтех-приложения для отечественных банков, бирж и инвестиционных компаний — ​это жёлтый сигнал светофора, который указывает на угрозу постановки заслона перед идеологией «непрерывных изменений» и выпуска релизов с трёх-четырёхзначными обозначениями версий.

О том, что agile остаётся обычной практикой, свидетельствовали и доклады на iFIN 2020, и выступления и дискуссии на другой конференции — ​«Информационные технологии в финансовых институтах», которая собрала 27–28 февраля весьма сильный состав экспертов.

И если спикеры iFin — ​это вендоры, весьма откровенно заинтересованные в быстром обороте продаж своих программных продуктов, то за спинами выступавших на конференции 27–28 февраля маячили самые что ни на есть конечные потребители современных финтех-поделок — ​ВТБ, Ростелеком, Яндекс.Деньги, Альфа-Капитал и Альфа-Банк, UBS, Нордеа Банк, БКС Брокер, ТрансКапиталБанк, Металлинвестбанк, Банк Уралсиб, Банк «Открытие»… Проще было бы сказать, что из законодателей финтех-моды не было только Сбербанка.

«ПОЧТИ» VS «ВСЕГДА И ПРАВИЛЬНО»

В контексте темы agilevs ГОСТ весьма поучительным был доклад представителя Альфа-Капитала на конференции «Информационные технологии в финансовых институтах». Илья Батай поделился наблюдениями различий опыта и подходов к работе «айтишников» 90-х, одинаково хорошо владевших знаниями о бизнесе и знаниями в ИТ, и нынешних «аджайл»-финтехов, основным конкурентным преимуществом рассматривающих короткий «time-to-market» своих разработок. Г-н Батай предложил интересное определение различия между классическим банковским и финтех-сервисом: «Финтех — ​это почти всегда и почти правильно, но быстро, а классический банк — ​это и всегда, и правильно, но медленно».

И хотя пока ряд руководителей бизнеса довольствуется качеством уровня «почти», регулятор, похоже, выбрал курс на высокое качество уровня «всегда и правильно».

Об этом же, кстати, свидетельствовал и доклад на той же конференции представителей Нордеа Банка, которые рассказали о реализации проекта по созданию отказоустойчивой ИТ-инфраструктуры в соответствии с требованиями регулятора. Они представили ещё один пример того, сколь широко ЦБ охватывает своим вниманием разные аспекты обеспечения надёжной работы банковской системы России. Одним из элементов проекта оказалась методология работы банка в условиях полного отказа всей ИТ-инфраструктуры.

МИФЫ О СОТРУДНИЧЕСТВЕ

Наиболее полно в начавшемся 2020 году вопросы «безопасного» программирования были освещены на ТБ Форуме в ходе конференции «Актуальные вопросы защиты информации». Ключевые темы, вызвавшие особый интерес публики — ​«Основные направления совершенствования деятельности по технической защите информации», «Нормативное правовое регулирование вопросов создания отечественной радиоэлектронной продукции», «Перспективы создания средств защиты информации на базе отечественной радиоэлектронной продукции», «Инструментальные средства и технологии выявления уязвимостей в программном обеспечении».

Последний доклад был представлен директором Института системного программирования РАН и вызвал смешанные чувства. С одной стороны, были системно изложены результаты работ высокопрофессионального коллектива, позиционирующего себя как «ведущая научная школа в области анализа программ и кибербезопасности». С другой, несмотря на декларативное заявление об успешном опыте конструктивного взаимодействия регулятор&наука&бизнес, следов этого опыта в докладе обнаружить не удалось.

Хотя действий в этом направлении было предпринято немало. Лишь с 2019 годом связаны такие «события», как возникновение курсов по повышению квалификации сотрудников Испытательных Лабораторий, создание подкомитета 4 «Разработка безопасного программного обеспечения» в ТК 362 «Защита информации», совместное создание ФСТЭК России и ИСП РАН Центра компетенции в области кибербезопасности.

Тем не менее, повторюсь, ни в докладе «Основные направления совершенствования деятельности по технической защите информации» ФСТЭК России, ни в упомянутом докладе директора ИСП РАН не обнаружено следов «опыта конструктивного взаимодействия» этих организаций. И это, наверное, можно понять. Такой опыт за один год не нарабатывается!

***

Более того, из некоторых фраз в ходе доклада директора ИСП РАН можно было сделать вывод, что учёные нашей страны лишь в общих чертах и лишь в режиме постфактум осведомлены о деятельности регулятора в сфере управления безопасностью ПО. И в этом не вина учёных. Проблема скорее в том, что процессы децентрализации управления в научно-технической сфере и промышленной политике подошли слишком близко к опасной черте, за которой — ​пустота. Та самая пустота, в которую уже проваливается мир отечественного компьютерного «железа». Почувствовать это позволяет красноречивый слайд, представленный на ТБ Форуме в докладе компании Крафтвэй (рисунок 1).

Рисунок 1. Типовая архитектура отечественной вычислительной системы 2019 (по версии компании Крафтвэй)