Как стать автором
Обновить
39.24
АЭРОДИСК
Российский разработчик СХД и систем виртуализации

Как из просто хорошей разработки сделать безопасную?

Время на прочтение 8 мин
Количество просмотров 3.7K

Всем привет! На связи АЭРОДИСК!

В этой статье мы расскажем вам про новое направление компании АЭРОДИСК – Цифровое пространство безопасности (ЦПБ). ЦПБ – продукт, созданный для наших партнеров - интеграторов для оказания помощи по вопросам информационной безопасности конечным заказчикам. Данный продукт - набор лицензируемых нашими регуляторами консалтинговых услуг в области информационной безопасности, который родился из необходимости организации безопасной разработки внутри АЭРОДИСК-а. Как так получилось, что из организации внутреннего процесса получился новый ИБ-продукт, читаем ниже и/или смотрим вебинар "ОколоИТ" 27 октября 2022 года в 15:00. Регистрация по ссылке.

Куда приводит желание создать безопасную СХД?

Последние несколько лет мы стали получать все больше запросов от наших партнеров и заказчиков на реализацию требований по безопасности для ГИС, КИИ и ИСПДн. При этом вопросы касались не только безопасности нашего оборудования и программного обеспечения (т.е. наличие сертификатов ФСТЭК и МинОбороны). К нам обращались также за помощью при внедрении наших и смежных продуктов в защищенные контуры заказчиков. Тогда мы задумались об обеспечении информационной безопасности наших продуктов, которые все чаще стали внедряться в информационные системы с высоким уровнем важности из-за циркулирующей в них информации. Это, собственно, и стало катализатором развития нашего ИБ-направления.

1. Сертификация ФСТЭК России и внедрение процессов безопасной разработки

Мы решили начать сначала – то есть сертифицировать наше программное обеспечение, входящее в состав наших программно-аппаратных комплексов, на соответствие техническим условиям и уровню доверия 4.

На первых этапах мы столкнулись с новыми для нас требованиями: требованиями доверия и требованиями по безопасной разработке (пишем не только чистый код, но и безопасный!). Одной из приоритетных задач для нас стала сертификация программного обеспечения по требованиям ФСТЭК России. И именно для реализации данной задачи нам необходимо было внедрить процесс безопасной разработки (далее - БР) в обязательном порядке.

Так с чего же начать процесс внедрения БР?

Мы начали  с построения модели угроз и аудита процесса разработки в целом. При построении модели угроз, мы использовали банк данных угроз безопасности информации ФСТЭК России («http://bdu.fstec.ru»), базы данных уязвимостей программного обеспечения: «Common Vulnerabilities and Exposures (CVE)», «CVE Details», «National Vulnerability Database». Также не забывали про использование риск-ориентированного подхода к обеспечению информационной безопасности нашего ПО, ориентируясь на международные практики.

При анализе нашего процесса разработки, мы обнаружили, что наш уровень тестирования программного обеспечения достаточного высок и большая часть процессов уже внедрена, но требуется улучшить документирование, а самое важное – контроль за данным процессом.

 До внедрения процесса БР мы выполняли следующие виды тестирования:

  • Code Review;

  • Статический анализ кода стандартными средствами разработки;

  • Ручное функциональное тестирование;

  • Автоматизированное функциональное тестирование (включая фаззинг-тестирование).

Изучив весь процесс, мы решили обеспечить выполнение дополнительных требований БР, которые не были реализованы, и улучшить существующие процессы тестирования. Отправной точкой здесь стало внедрение Open Source решений. Данные решения помогли нам понять, какие моменты мы еще не учли, и адаптировать процесс разработки под новые реалии.

Решения, которые мы стали использовать:

  • Статический анализ кода (SAST): SonarQube + Gitlab

  • Динамический анализ кода (DAST): Owasp ZAP

  • Проведение тестирования на проникновение (при выпуске глобальных обновлений)

Для улучшения существующих видов тестирования мы пересмотрели текущие тесты и добавили новые способы тестирования. Впоследствии это помогло нам найти ошибки, и мы ввели новые правила валидации вводимых данных.

Все эти процессы документированы в соответствии с ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

2. Интеграция с сертифицированными средствами защиты информации

Однако сертификация – это достаточно долгий процесс, а безопасные решения нужны были «прямо здесь и сейчас». Поэтому параллельно мы начали искать альтернативные варианты, которые помогли бы соблюсти требования к защищенным контурам ИТ-инфраструктуры наших заказчиков и партнеров.  Поиски нас привели к ряду известных отечественных производителей средств защиты информации. После изучения всей информации свое предпочтение мы отдали продуктам компании ОКБ САПР.

Для обеспечения доверенной загрузки систем хранения данных АЭРОДИСК Engine и Восток мы выполнили интеграцию продукта Аккорд-МКТ со своими СХД. Аккорд-МКТ — это программное средство доверенной загрузки, которое встраивается в базовую систему ввода-вывода (БСВВ) микрокомпьютеров и ЭВМ на базе процессоров с архитектурой x86-64 и e2k.

Для обеспечения безопасности нашей виртуализации АЭРОДИСК АИСТ и гиперконвергентной системы АЭРОДИСК vAIR мы интегрировали Аккорд-KVM и дополнительно для защиты операционной системы – продукт Аккорд Х К.

 В течение нескольких месяцев мы проводили испытания наших продуктов в связке с «Аккордами» и добились положительных результатов, после чего оформили сертификаты совместимости и углубили и расширили стали применять в совместных проектах.

Уже реализовано несколько проектов с применением наших решений в защищенном исполнении. Например, один из них – у крупного государственного заказчика. Внедрили в защищенный контур нашу гиперконвергентную систему АЭРОДИСК vAIR (ПАК АЭРОДИСК Machine-V) со средствами защиты информации от ЗАО «ОКБ САПР» (Аккорд Х К, Аккорд-МКТ и Аккорд-KVM).

3. Внешний консалтинг

Реализовав внутренние задачи по безопасной разработке и интегрировав внешние СЗИ в наши продукты, мы переключили фокус своего внимания на другие задачи, с которыми к нам часто обращались. В частности, на консультации для наших партнеров и заказчиков по вопросам правового обеспечения информационной безопасности.

Оказалось, что нельзя просто так взять и начать предоставлять консультации по информационной безопасности, для этого требуются соответствующие знаки отличия и похвальные грамоты  лицензии и сертификаты, которые мы в итоге и получили (см. спойлер).

Знаки отличия и похвальные грамоты
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации № 3957 от 20.08.2021 г.

  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации № 2019 от 20.08.2021 г.

  • Лицензия ФСБ на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, рег. № 18688/Н от 11.11.2021 г.

  • Лицензия ФСБ на проведение работ, связанных с использованием сведений, составляющих государственную тайну рег. № 35674 от 15.03.2021 г., действительна до 01.11.2023 г. Степень секретности разрешенных к использованию сведений – секретно.

  • Лицензия Минобороны России на проведение работ, связанных с созданием средств защиты информации рег. № 2089 от 12.11.2021 г., действительна до 12.11.2026 г.

  • Лицензия ФСТЭК России на проведение работ, связанных с созданием средств защиты информации рег. № 3707 от 22.04.2022 г., действительна до 22.04.2027 г.

В итоге, внедрив процессы безопасной разработки, создав защищенное исполнение наших продуктов и получив соответствующие лицензии, нам удалось собрать паззл и создать наш новый продукт, который получил название: Цифровое Пространство Безопасности (ЦПБ).

Цифровое Пространство Безопасности – это консалтинговое
направление компании АЭРОДИСК, которое комплексно решает задачи в сфере информационной безопасности.

Для каких задач и для каких организаций эти услуги актуальны?

  • Финансовые организации, для которых актуально соответствие требованиям 683-П, 719-П, 747-П, 757-П;

  • Операторы персональных данных, которым требуется анализ защищенности информационных систем и соответствие требованиям 152-ФЗ;

  • Субъекты КИИ (критической информационной инфраструктуры), которым нужно оценить соответствие требованиям 187-ФЗ, провести категорирование объектов КИИ и внедрить процессы безопасной разработки в соответствии с требованиями приказа ФСТЭК России № 239;

  • Компании государственного сектора с популярной задачей аттестации ГИС по требованиям безопасности информации;

  • Промышленность и АСУ ТП, в потребности которых входит оценка защищенности информационных систем и построение комплексной системы информационной безопасности;

  • Компании-ритейлеры, которым нужно защитить коммерческую тайну.

Как работает ЦПБ?

Для всего каталога услуг предусмотрен стандартный набор шагов:

1. Определяем нормативные требования регуляторов, актуальные для конкретного бизнеса;

2. Проводим аудит информационной безопасности;

3. Проектируем защищенный контур сети организации с учетом всех требований ИБ;

4. Помогаем с поставкой и внедрением необходимого оборудования;

5. Разрабатываем ОРД в области информационной безопасности;

6. Проводим аттестацию по требованиям безопасности информации.

Отдельным "длинным" шагом являются услуги поддержки, которые предоставляются по набирающей популярности модели MSSP (или «безопасность как сервис»). Суть поддержки заключается в переаттестации объектов в случае их изменения/модернизации и/или изменения требований регуляторов, что также включает в себя актуализацию всей нормативной документации по ИБ предприятия.

Как распространяется услуга?

Модель распространения услуг не отличается от других продуктов АЭРОДИСК. Как и другие продукты АЭРОДИСК, услуги распространяются только через авторизованных партнеров - системных интеграторов.  Системные интеграторы в такой модели также получают свой бонус. Мы помогаем им провести аттестацию объектов ИТ-инфраструктуры для заказчиков, консультируем специалистов интегратора по вопросам соответствия объектов заказчика требованиям ИБ. И при необходимости совместно с интеграторами помогаем спроектировать защищенный контур ИТ-инфраструктуры.

Полный перечень услуги с парт-номерами ниже:

Парт номера и описание услуг

Парт-номер

Категория услуги

Наименование услуги

CPAS - ARM1

Аттестация

Аттестация автоматизированного рабочего места (АРМ)

CPAS - ISP1

Аттестация

Аттестация информационной системы персональных данных (ИСПДн)

CPAS - GIS1

Аттестация

Аттестация государственной информационной системы (ГИС)

CPAS - ZIM1

Аттестация

Аттестация защищаемых помещений

CPAV - IBP1

Аудит и консалтинг

Аудит информационной безопасности

CPAV - STI1

Аудит и консалтинг

Комплексная оценка соответствия требованиям информационной безопасности

CPAV - PDN1

Аудит и консалтинг

Оценка соответствия требованиям 152-ФЗ "О персональных данных"

CPAV - SKO1

Аудит и консалтинг

Оценка соответствия требованиям 98-ФЗ "О коммерческой тайне"

CPAV - GOS1

Аудит и консалтинг

Оценка соответствия требованиям ГОСТ 57580

CPAV - OUD1

Аудит и консалтинг

Оценка соответствия требованиям ОУД 4

CPAV - ORD1

Аудит и консалтинг

Разработка организационно-распорядительной документации по ИБ

CPAV - KII1

Аудит и консалтинг

Категорирование объектов КИИ

CPPV - PBR1

Проектирование и внедрение

Внедрение процессов безопасной разработки

CPPV - MYN1

Проектирование и внедрение

Разработка моделей угроз и нарушителя ИБ

CPPV - PSZ1

Проектирование и внедрение

Проектирование в защищенном исполнении информационных систем

CPPV - VCZ1

Проектирование и внедрение

Внедрение средств защиты информации

CPPV - PCZ1

Проектирование и внедрение

Поставка средств защиты информации

CPAU - ANZ1

Анализ защищенности

Анализ защищенности веб и мобильных приложений

CPAU - AIC1

Анализ защищенности

Аудит исходного кода

CPAU - TPP1

Анализ защищенности

Тестирование на проникновение приложений

CPAU - AZI1

Анализ защищенности

Анализ защищенности инфраструктуры

CPAU - TPI1

Анализ защищенности

Тестирование на проникновение инфраструктуры

CPAU - ASZ1

Анализ защищенности

Анализ защищенности АСУ ТП

CPAU - TPZ1

Анализ защищенности

Тестирование на проникновение АСУ ТП

Заключение

Надеемся, что этой статьей мы причинили вам добро и пользу. Мы не только хотели прорекламировать наш новый продукт (это само собой), но и показать, что даже в классической разработке какие-то побочные истории в вашем бизнесе при желании могут вполне успешно сформироваться в новый актуальный для рынка продукт. Главное условие тут – хотеть, то есть искать возможности, а не причины, почему не получится.

Информационная безопасность в России развивается. Только за последние несколько месяцев произошло множество изменений в законодательстве, под которые нужно адаптироваться. Мы рассказали лишь об ограниченном количестве случаев, где необходимо применение мер по защите информации. Да и самих этих мер намного больше. Это не только «аудиты» и «пентесты», но и защита контейнеров, конечных точек, мониторинг ИБ (SOC), комплексная защита АСУ ТП, фишинговые рассылки внутри организации, обучение сотрудников и т.д. Будем периодически возвращаться к этим вопросам в нашем блоге и рассматривать каждый из них более обстоятельно.

В заключение хотелось бы получить от вас обратную связь с целью понять на каких полезных действиях сосредоточить свое внимание. Поэтому статье прикрепляем опрос. По результатам опроса три самые горячие темы мы обсудим на нашем вебинаре «ОколоИТ, где кроме этого ещё подробнее расскажем о нашем железе в защищенном исполнении. Вебинар состоится 27 октября 2022 года в 15:00. 

Зарегистрироваться на мероприятие можно по ссылке.

Также не забываем про наш Телеграм-канал "Импортозамещение здорового человека", где в ближайшее время также подключим трезвую ИБ-тематику.

Всем спасибо, ждем вопросов и предложений.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Какие направления в области ИБ наиболее актуальны для вашей компании (можно выбрать несколько вариантов)?
0% Адаптация к изменениям в законе о персональных данных 01.09.2022; 0
0% Анализ защищенности ИТ-инфраструктуры; 0
100% Требования ЦБ по оценке соответствия ОУД 4; 1
0% Защита коммерческой тайны; 0
0% КИИ. Оценка соответствия 187-ФЗ, категорирование объектов КИИ; 0
0% Построение комплексной системы ИБ. «Нормативка» и «железный» вопрос; 0
Проголосовал 1 пользователь. Воздержавшихся нет.
Теги:
Хабы:
+2
Комментарии 3
Комментарии Комментарии 3

Публикации

Информация

Сайт
aerodisk.ru
Дата регистрации
Дата основания
Численность
51–100 человек
Местоположение
Россия
Представитель
Вячеслав Володкович