Законодательные инициативы в области РБПО. Тренды и практика

Законодательные инициативы в области РБПО. Тренды и практика

Введение: что есть в области регулирования РБПО

Практика РБПО давно вышла за рамки традиционного DevOps с интегрированной безопасностью. Сегодня это уже полноценная идеология, в которой безопасность выступает как правило хорошего тона, часть этикета и гигиены.

В эволюционном развитии такого подхода всё происходит по классическим законам экономики: спрос рождает предложение. Если ранее большинство экспертов фокусировались на анализе кода, то сейчас мировоззрение меняется, и в поле зрения попадают и те аспекты, которые требуют проведения ИБ-проверок  —  от проектирования архитектуры и бизнес-логики до харденинга инфраструктуры и анализа цепочки поставок ПО. Может ли система изначально быть идеальной, или жизненные циклы создания ПО таковы, что хороший результат можно достичь только при комплексном применении всех практик безопасной разработки?

С таким широким запросом на спектр практик мы обращаемся к регуляторике и изучаем, что уже существует в этой области. Порой эксперты не замечают требования, если напрямую не указано: «Чтобы построить РБПО — делай раз, два, три». А по сути, если знать, из чего состоит РБПО и в каких документах оно описано, то можно найти множество регуляторных требований и рекомендаций о том, как правильно выстраивать процессы.

Итак, посмотрим.

Наши основные регуляторы в данном вопросе — ​ФСТЭК России и Банк России. Есть ещё отраслевые требования, но они, как правило, издаются как ответвление к основным, например, требования Минцифры России к госсистемам, размещаемым на ЕЦП «ГосТех», или требования Минэнерго к объектам электроэнергетики.

Помимо регуляторных, есть требования, утверждаемые президентом, — ​федеральные законы, указы.

Также существуют документы общего рекомендательного характера — ​ГОСТы (они являются рекомендательными до момента, пока о необходимости их исполнения не будет сказано в обязательных к исполнению документах).

Кроме «источника» нормативного документа, регулирование можно также классифицировать по отраслям. Обычно специалисты по ИБ именно так и формулируют свой запрос, так как решают задачу по защите объектов в конкретной сфере экономики.

Можно выделить несколько ключевых направлений регулирования: для финтеха (кредитные и некредитные организации и ряд других организационно-правовых форм в финансовой сфере), для объектов КИИ (критической информационной инфраструктуры), для ГИС (государственных информационных систем), для информационных систем обработки ПДн (персональных данных).

Важно отметить, что одна сфера регулирования не исключает другую и при выборе набора требований необходимо знать всё об объекте — ​его бизнес-задачи, обрабатываемые данные и их объём, нюансы взаимодействия с внешними системами и многие другие аспекты. Может получиться так, что в отношении объекта нужно принимать меры защиты и для финтеха, и для КИИ, и для ПДн, и для ГИС.

Иногда компании планируют сертифицировать свои программные продукты во ФСТЭК России, и этот процесс предполагает проверку внедрения процедур безопасной разработки ПО.

Также важна информация о том, где будут размещаться вычислительные ресурсы. Если объект будет работать на платформе ГосТех, то для ГИС необходимо будет соблюдать не только требования ФСТЭК России, но и Минцифры РФ.

Таким образом, для специалистов по безопасности нет единого универсального набора регуляторных требований — это всегда набор, формирующийся из особенностей защищаемого объекта.

Из описанного выше можно предложить некоторый алгоритм выбора требований из всего множества:

1. Является ли защищаемый объект КИИ и/или ГИС, и/или ИСПДн, и/или финтех?
2. Если несколько «да», то важно изучить и учесть особенности регулирования для каждого. Например, если программный продукт является объектом КИИ, это не всегда говорит о том, что он значимый. Также, если приложение обрабатывает ПДн, нет необходимости без разбора выполнять все требования в полном объёме. В каждой отрасли есть свои «уровни безопасности», назовём таким общим термином разные наборы требований.
3. Если ГИС, то планируется ли размещать её на платформе ГосТех?
4. Если значимый объект относится к КИИ — это электроэнергетика или, может, АСУ ТП?
5. Есть ли задача по сертификации продуктов во ФСТЭК России?
6. Если финтех, то кредитная или некредитная организация? Или, может, бюро кредитных историй?

Основная часть: ретроспектива — ​что было и есть в НПА РБПО

Теперь рассмотрим конкретные упоминания РБПО в регуляторике.

Общие нормы, которые применимы или могут быть опционально применимы к любой отрасли:

• Указ Президента РФ от 18.06.2024 № 529 «Об утверждении приоритетных направлений научно-технологического развития и перечня важнейших наукоёмких технологий»
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации
• ГОСТ Р 56939–2024 «Разработка безопасного программного обеспечения. Общие требования»
• ГОСТ Р 15408–3–2013 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»
• ГОСТ Р 58412–2019 «Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения»
• Приказ ФСТЭК России от 03.04.2018 № 55 «Об утверждении Положения о системе сертификации средств защиты информации»
• Приказ ФСТЭК России от 02.06.2020 № 76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий»

Нормы для субъектов критической информационной инфраструктуры (КИИ):

• Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»
• Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
• Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
• Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

Нормы для систем обработки персональных данных:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Нормы для финтеха:

• ГОСТ Р 57580.1–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
• Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»
• Положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
• Положение Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»
• Положение Банка России от 15.11.2021 № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надёжности при осуществлении видов деятельности»
• Положение Банка России от 12.01.2022 № 787-П «Об обязательных для кредитных организаций требованиях к операционной надёжности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг»
• Положение Банка России от 25.07.2022 № 802-П «О требованиях к защите информации в платёжной системе Банка России»
• Положение Банка России от 17.10.2022 № 808-П «О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций…»
• Положение Банка России от 03.08.2023 № 820-П «О платформе цифрового рубля»
• Положение Банка России от 17.08.2023 № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
• Положение Банка России от 07.12.2023 № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля»
• Методический документ Банка России от 2021 года «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций»
• Стандарт Банка России СТО БР ФАПИ.СЕК-1.6-2024. Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect
• Стандарт Банка России СТО БР ФАПИ.ПАОК-1.0-2024. Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу.
• Методические рекомендации Банка России от 30.09.2024 № 16-МР по организации взаимодействия информационных систем организаций финансового рынка с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме
• Методические рекомендации Банка России от 22.01.2025 № 2-МР по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка

Предметные нормы для сферы энергетики:

• Приказ Минэнерго России от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике»

Требования для государственных информационных систем:

• Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
• Методические рекомендации по обеспечению безопасности при разработке программного обеспечения с использованием компонентов Единой цифровой платформы «ГосТех» (утверждено протоколом Президиума Правительственной комиссии от 08.12.2022 № 54)
• Концепция разработки безопасного ПО на платформе «ГосТех» (утверждено протоколом Президиума Правительственной комиссии от 04.05.2023 № 20)

Что будет меняться?

Указом от 18.06.2024 № 529 Президент России определил приоритетные направления научно-технологического развития и перечень важнейших наукоёмких технологий. «Безопасность получения, хранения, передачи и обработки информации» определена как приоритет научно-технологического развития, а в числе важнейших наукоёмких технологий мы видим «технологии создания доверенного и защищённого системного и прикладного программного обеспечения». Таким образом речь идёт о стратегическом направлении развития нашей страны, в котором РПБО занимает важное место.

Изменения происходят во всех сферах.

Произошедшее уже изменение — это пересмотр в полном объёме базового ГОСТ Р 56939–2024. Вместо 9 мер по разработке безопасного ПО, которые были с 2016 года, вводится 25 мер, которые в сумме содержат более 100 требований к процессу РБПО.

Среди нового перечня мер выделяются те, которые, как правило, требуют экспертных компетенций в области безопасной разработки: экспертиза и статистический анализ исходного кода, динамический анализ кода программы, использование безопасной системы сборки программного обеспечения, обеспечение безопасности используемых секретов, проверка кода на предмет внедрения вредоносного ПО через цепочки поставок и ряд других.

В развитие ГОСТ 56939-2024 сейчас ФСТЭК и экспертное сообщество ведут работу над разработкой ГОСТ по методике оценке уровня реализации процессов разработки безопасного ПО. Данным ГОСТ планируется зафиксировать подходы к оценке соответствия процессов ГОСТ 56939.

Еще в скором времени ФСТЭК планирует выпустить ГОСТ по композиционному анализу ПО, в котором будут описаны и процессы, и требования к инструментам, и требования по формированию перечня программным компонентов (перечень зависимостей, библиотек и других элементов, имеющих отношение к продукту).

В новой редакции ФСТЭК России планирует выпустить приказ от 11.02.2013 № 17 (проект изменений опубликован на сайте ФСТЭК России 08.08.2024) о защите информации в госсистемах. Положения о внедрении практик безопасной разработки добавлены в явном, акцентированном виде. В частности, не допускается использование ПО без проведения работ по экспертизе, тестированию и (или) исследованиям исходного кода, в том числе без проведения статического и динамического анализа кода программ, а также композиционного анализа программного обеспечения.

Также важно, что регулятор планирует утвердить эти требования не только для систем в статусе ГИС, но и в целом для всех объектов, которые эксплуатируют госорганизации.

Также и Банк России планирует пересмотреть положения № 821-П и № 757-П. Операторы по переводу денежных средств, банковские платёжные агенты (субагенты), некредитные финансовые организации получат право не проводить контроль каждой версии ПО, если они имеют «заключение проверяющей организации о том, что реализуемые процессы разработки программного обеспечения и приложений включают меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений». То есть безопасная разработка позволит избежать контроля ПО (в том числе, если это объект КИИ, судя по действующим проектам новых редакций положений) — ​это достаточно революционный подход.

Такой же концептуально новый подход ФСТЭК России уже утвердила в 2023 году приказом № 240, в котором допускается вместо сертификации новых версий СрЗИ иметь сертифицированный процесс разработки этого СрЗИ.

Также, думаю, и с принятием закона «об оборотных штрафах» за утечки ПДн всё больше внимания будет уделяться безопасности ПО, обрабатывающего ПДн.

Топ‑3 ключевых тренда

Какие тренды безопасной разработки в России можно выделить с учетом вектора развития регуляторики:

1. Импортозамещение и доверие. Open Source по-прежнему популярен, но  в современных реалиях для критических сфер в российской экономике использовать его небезопасно (недавний прецедент с ядром Linux яркий тому пример), и наблюдается тренд перехода на отечественные решения и инструменты для реализации и автоматизации практик РБПО.

2. Повышение компетенций ИТ-специалистов. Относится к разработчикам, ИБ-специалистам, сетевикам и всем, кто обеспечивает эксплуатацию объекта, для которого внедряется РБПО.

Этот тренд, как результат осознанного перехода к концепции Secure by Design, свидетельствует и о максимальном «смещении влево» в обеспечении безопасности программных продуктов компаний.

3. Применение ИИ и машинного обучения. Использование технологий доверенного искусственного интеллекта для выявления уязвимостей, анализа поведения приложений и предотвращения атак. Машинное обучение помогает в прогнозировании угроз и автоматизации процессов тестирования на безопасность.

Ключевое слово тут «доверенный» —  применением ИИ сейчас никого не удивишь, но можем ли мы на 100 % довериться ему в защите своих критических ресурсов? Подходы и принципы «доверия» к ИИ, а также регулирование этой технологии сейчас являются практически основной повесткой всех дискуссий профессионального сообщества.

Заключение: нормативно-правовое регулирование РБПО — ​необходимо для обеспечения киберустойчивости

Очень часто от регуляторики требуют меньше бюрократии, бумажной безопасности и больше практической пользы, описанной лаконично, просто и с конкретным набором действий.

Но, по сути, наши регуляторы уже давно уделяют этому много внимания, выпуская пояснения, методические материалы, да и в целом отвечая на прямые вопросы офлайн или онлайн, а также привлекая профессионалов и экспертов из коммерческих организаций для совместной работы над регуляторикой.

Безопасность всегда была и остаётся процессом, только сейчас точка старта смещается влево у всё большего числа компаний, а не только у крупнейших корпораций.

Государство в лице регуляторов задаёт и корректирует вектор развития процессов и технологий разработки безопасного ПО, помогая сохранить баланс между скоростью выпуска программных продуктов в эксплуатацию и защищённостью чувствительной информации.

Реклама. ООО «СВОРДФИШ СЕКЬЮРИТИ», ИНН: 7842496093, Erid: 2Vfnxx9sHfv