Всем привет! На связи АЭРОДИСК!
В этой статье мы расскажем вам про новое направление компании АЭРОДИСК – Цифровое пространство безопасности (ЦПБ). ЦПБ – продукт, созданный для наших партнеров - интеграторов для оказания помощи по вопросам информационной безопасности конечным заказчикам. Данный продукт - набор лицензируемых нашими регуляторами консалтинговых услуг в области информационной безопасности, который родился из необходимости организации безопасной разработки внутри АЭРОДИСК-а. Как так получилось, что из организации внутреннего процесса получился новый ИБ-продукт, читаем ниже и/или смотрим вебинар "ОколоИТ" 27 октября 2022 года в 15:00. Регистрация по ссылке.
Куда приводит желание создать безопасную СХД?
Последние несколько лет мы стали получать все больше запросов от наших партнеров и заказчиков на реализацию требований по безопасности для ГИС, КИИ и ИСПДн. При этом вопросы касались не только безопасности нашего оборудования и программного обеспечения (т.е. наличие сертификатов ФСТЭК и МинОбороны). К нам обращались также за помощью при внедрении наших и смежных продуктов в защищенные контуры заказчиков. Тогда мы задумались об обеспечении информационной безопасности наших продуктов, которые все чаще стали внедряться в информационные системы с высоким уровнем важности из-за циркулирующей в них информации. Это, собственно, и стало катализатором развития нашего ИБ-направления.
1. Сертификация ФСТЭК России и внедрение процессов безопасной разработки
Мы решили начать сначала – то есть сертифицировать наше программное обеспечение, входящее в состав наших программно-аппаратных комплексов, на соответствие техническим условиям и уровню доверия 4.
На первых этапах мы столкнулись с новыми для нас требованиями: требованиями доверия и требованиями по безопасной разработке (пишем не только чистый код, но и безопасный!). Одной из приоритетных задач для нас стала сертификация программного обеспечения по требованиям ФСТЭК России. И именно для реализации данной задачи нам необходимо было внедрить процесс безопасной разработки (далее - БР) в обязательном порядке.
Так с чего же начать процесс внедрения БР?
Мы начали с построения модели угроз и аудита процесса разработки в целом. При построении модели угроз, мы использовали банк данных угроз безопасности информации ФСТЭК России («http://bdu.fstec.ru»), базы данных уязвимостей программного обеспечения: «Common Vulnerabilities and Exposures (CVE)», «CVE Details», «National Vulnerability Database». Также не забывали про использование риск-ориентированного подхода к обеспечению информационной безопасности нашего ПО, ориентируясь на международные практики.
При анализе нашего процесса разработки, мы обнаружили, что наш уровень тестирования программного обеспечения достаточного высок и большая часть процессов уже внедрена, но требуется улучшить документирование, а самое важное – контроль за данным процессом.
До внедрения процесса БР мы выполняли следующие виды тестирования:
Code Review;
Статический анализ кода стандартными средствами разработки;
Ручное функциональное тестирование;
Автоматизированное функциональное тестирование (включая фаззинг-тестирование).
Изучив весь процесс, мы решили обеспечить выполнение дополнительных требований БР, которые не были реализованы, и улучшить существующие процессы тестирования. Отправной точкой здесь стало внедрение Open Source решений. Данные решения помогли нам понять, какие моменты мы еще не учли, и адаптировать процесс разработки под новые реалии.
Решения, которые мы стали использовать:
Статический анализ кода (SAST): SonarQube + Gitlab
Динамический анализ кода (DAST): Owasp ZAP
Проведение тестирования на проникновение (при выпуске глобальных обновлений)
Для улучшения существующих видов тестирования мы пересмотрели текущие тесты и добавили новые способы тестирования. Впоследствии это помогло нам найти ошибки, и мы ввели новые правила валидации вводимых данных.
Все эти процессы документированы в соответствии с ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
2. Интеграция с сертифицированными средствами защиты информации
Однако сертификация – это достаточно долгий процесс, а безопасные решения нужны были «прямо здесь и сейчас». Поэтому параллельно мы начали искать альтернативные варианты, которые помогли бы соблюсти требования к защищенным контурам ИТ-инфраструктуры наших заказчиков и партнеров. Поиски нас привели к ряду известных отечественных производителей средств защиты информации. После изучения всей информации свое предпочтение мы отдали продуктам компании ОКБ САПР.
Для обеспечения доверенной загрузки систем хранения данных АЭРОДИСК Engine и Восток мы выполнили интеграцию продукта Аккорд-МКТ со своими СХД. Аккорд-МКТ — это программное средство доверенной загрузки, которое встраивается в базовую систему ввода-вывода (БСВВ) микрокомпьютеров и ЭВМ на базе процессоров с архитектурой x86-64 и e2k.
Для обеспечения безопасности нашей виртуализации АЭРОДИСК АИСТ и гиперконвергентной системы АЭРОДИСК vAIR мы интегрировали Аккорд-KVM и дополнительно для защиты операционной системы – продукт Аккорд Х К.
В течение нескольких месяцев мы проводили испытания наших продуктов в связке с «Аккордами» и добились положительных результатов, после чего оформили сертификаты совместимости и углубили и расширили стали применять в совместных проектах.
Уже реализовано несколько проектов с применением наших решений в защищенном исполнении. Например, один из них – у крупного государственного заказчика. Внедрили в защищенный контур нашу гиперконвергентную систему АЭРОДИСК vAIR (ПАК АЭРОДИСК Machine-V) со средствами защиты информации от ЗАО «ОКБ САПР» (Аккорд Х К, Аккорд-МКТ и Аккорд-KVM).
3. Внешний консалтинг
Реализовав внутренние задачи по безопасной разработке и интегрировав внешние СЗИ в наши продукты, мы переключили фокус своего внимания на другие задачи, с которыми к нам часто обращались. В частности, на консультации для наших партнеров и заказчиков по вопросам правового обеспечения информационной безопасности.
Оказалось, что нельзя просто так взять и начать предоставлять консультации по информационной безопасности, для этого требуются соответствующие знаки отличия и похвальные грамоты лицензии и сертификаты, которые мы в итоге и получили (см. спойлер).
Знаки отличия и похвальные грамоты
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации № 3957 от 20.08.2021 г.
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации № 2019 от 20.08.2021 г.
Лицензия ФСБ на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, рег. № 18688/Н от 11.11.2021 г.
Лицензия ФСБ на проведение работ, связанных с использованием сведений, составляющих государственную тайну рег. № 35674 от 15.03.2021 г., действительна до 01.11.2023 г. Степень секретности разрешенных к использованию сведений – секретно.
Лицензия Минобороны России на проведение работ, связанных с созданием средств защиты информации рег. № 2089 от 12.11.2021 г., действительна до 12.11.2026 г.
Лицензия ФСТЭК России на проведение работ, связанных с созданием средств защиты информации рег. № 3707 от 22.04.2022 г., действительна до 22.04.2027 г.
В итоге, внедрив процессы безопасной разработки, создав защищенное исполнение наших продуктов и получив соответствующие лицензии, нам удалось собрать паззл и создать наш новый продукт, который получил название: Цифровое Пространство Безопасности (ЦПБ).
Цифровое Пространство Безопасности – это консалтинговое
направление компании АЭРОДИСК, которое комплексно решает задачи в сфере информационной безопасности.
Для каких задач и для каких организаций эти услуги актуальны?
Финансовые организации, для которых актуально соответствие требованиям 683-П, 719-П, 747-П, 757-П;
Операторы персональных данных, которым требуется анализ защищенности информационных систем и соответствие требованиям 152-ФЗ;
Субъекты КИИ (критической информационной инфраструктуры), которым нужно оценить соответствие требованиям 187-ФЗ, провести категорирование объектов КИИ и внедрить процессы безопасной разработки в соответствии с требованиями приказа ФСТЭК России № 239;
Компании государственного сектора с популярной задачей аттестации ГИС по требованиям безопасности информации;
Промышленность и АСУ ТП, в потребности которых входит оценка защищенности информационных систем и построение комплексной системы информационной безопасности;
Компании-ритейлеры, которым нужно защитить коммерческую тайну.
Как работает ЦПБ?
Для всего каталога услуг предусмотрен стандартный набор шагов:
1. Определяем нормативные требования регуляторов, актуальные для конкретного бизнеса;
2. Проводим аудит информационной безопасности;
3. Проектируем защищенный контур сети организации с учетом всех требований ИБ;
4. Помогаем с поставкой и внедрением необходимого оборудования;
5. Разрабатываем ОРД в области информационной безопасности;
6. Проводим аттестацию по требованиям безопасности информации.
Отдельным "длинным" шагом являются услуги поддержки, которые предоставляются по набирающей популярности модели MSSP (или «безопасность как сервис»). Суть поддержки заключается в переаттестации объектов в случае их изменения/модернизации и/или изменения требований регуляторов, что также включает в себя актуализацию всей нормативной документации по ИБ предприятия.
Как распространяется услуга?
Модель распространения услуг не отличается от других продуктов АЭРОДИСК. Как и другие продукты АЭРОДИСК, услуги распространяются только через авторизованных партнеров - системных интеграторов. Системные интеграторы в такой модели также получают свой бонус. Мы помогаем им провести аттестацию объектов ИТ-инфраструктуры для заказчиков, консультируем специалистов интегратора по вопросам соответствия объектов заказчика требованиям ИБ. И при необходимости совместно с интеграторами помогаем спроектировать защищенный контур ИТ-инфраструктуры.
Полный перечень услуги с парт-номерами ниже:
Парт номера и описание услуг
Парт-номер | Категория услуги | Наименование услуги |
CPAS - ARM1 | Аттестация | Аттестация автоматизированного рабочего места (АРМ) |
CPAS - ISP1 | Аттестация | Аттестация информационной системы персональных данных (ИСПДн) |
CPAS - GIS1 | Аттестация | Аттестация государственной информационной системы (ГИС) |
CPAS - ZIM1 | Аттестация | Аттестация защищаемых помещений |
CPAV - IBP1 | Аудит и консалтинг | Аудит информационной безопасности |
CPAV - STI1 | Аудит и консалтинг | Комплексная оценка соответствия требованиям информационной безопасности |
CPAV - PDN1 | Аудит и консалтинг | Оценка соответствия требованиям 152-ФЗ "О персональных данных" |
CPAV - SKO1 | Аудит и консалтинг | Оценка соответствия требованиям 98-ФЗ "О коммерческой тайне" |
CPAV - GOS1 | Аудит и консалтинг | Оценка соответствия требованиям ГОСТ 57580 |
CPAV - OUD1 | Аудит и консалтинг | Оценка соответствия требованиям ОУД 4 |
CPAV - ORD1 | Аудит и консалтинг | Разработка организационно-распорядительной документации по ИБ |
CPAV - KII1 | Аудит и консалтинг | Категорирование объектов КИИ |
CPPV - PBR1 | Проектирование и внедрение | Внедрение процессов безопасной разработки |
CPPV - MYN1 | Проектирование и внедрение | Разработка моделей угроз и нарушителя ИБ |
CPPV - PSZ1 | Проектирование и внедрение | Проектирование в защищенном исполнении информационных систем |
CPPV - VCZ1 | Проектирование и внедрение | Внедрение средств защиты информации |
CPPV - PCZ1 | Проектирование и внедрение | Поставка средств защиты информации |
CPAU - ANZ1 | Анализ защищенности | Анализ защищенности веб и мобильных приложений |
CPAU - AIC1 | Анализ защищенности | Аудит исходного кода |
CPAU - TPP1 | Анализ защищенности | Тестирование на проникновение приложений |
CPAU - AZI1 | Анализ защищенности | Анализ защищенности инфраструктуры |
CPAU - TPI1 | Анализ защищенности | Тестирование на проникновение инфраструктуры |
CPAU - ASZ1 | Анализ защищенности | Анализ защищенности АСУ ТП |
CPAU - TPZ1 | Анализ защищенности | Тестирование на проникновение АСУ ТП |
Заключение
Надеемся, что этой статьей мы причинили вам добро и пользу. Мы не только хотели прорекламировать наш новый продукт (это само собой), но и показать, что даже в классической разработке какие-то побочные истории в вашем бизнесе при желании могут вполне успешно сформироваться в новый актуальный для рынка продукт. Главное условие тут – хотеть, то есть искать возможности, а не причины, почему не получится.
Информационная безопасность в России развивается. Только за последние несколько месяцев произошло множество изменений в законодательстве, под которые нужно адаптироваться. Мы рассказали лишь об ограниченном количестве случаев, где необходимо применение мер по защите информации. Да и самих этих мер намного больше. Это не только «аудиты» и «пентесты», но и защита контейнеров, конечных точек, мониторинг ИБ (SOC), комплексная защита АСУ ТП, фишинговые рассылки внутри организации, обучение сотрудников и т.д. Будем периодически возвращаться к этим вопросам в нашем блоге и рассматривать каждый из них более обстоятельно.
В заключение хотелось бы получить от вас обратную связь с целью понять на каких полезных действиях сосредоточить свое внимание. Поэтому статье прикрепляем опрос. По результатам опроса три самые горячие темы мы обсудим на нашем вебинаре «ОколоИТ, где кроме этого ещё подробнее расскажем о нашем железе в защищенном исполнении. Вебинар состоится 27 октября 2022 года в 15:00.
Зарегистрироваться на мероприятие можно по ссылке.
Также не забываем про наш Телеграм-канал "Импортозамещение здорового человека", где в ближайшее время также подключим трезвую ИБ-тематику.
Всем спасибо, ждем вопросов и предложений.