До принятия приказа ФСТЭК России № 240 у нас в стране сертификация касалась непосредственно самих средств защиты информации в 4-х различных системах сертификации: Минобороны России, СВР России, ФСБ России и ФСТЭК России.
Сейчас с введением приказа № 240 появился новый вид сертификации – сертификация процессов безопасной разработки программного обеспечения средств защиты информации.
Для чего нужен новый вид сертификации?
Сегодня изготовители программного обеспечения (заявители) сертифицируют свои средства защиты информации. По итогу прохождения всех процедур получают сертификат соответствия на продукт сроком на 5 лет.
Если в период этих 5-ти лет со средством защиты произойдут какие-либо изменения, то изготовитель будет обязан провести дополнительные испытания.
Какие это могут быть изменения?
Например, в продукте вышло новое обновление, затрагивающее текущие функции безопасности средства защиты, либо добавляющее новые функции безопасности.
Эти требования выставляются для того, чтобы удостовериться, что в обновленной версии отсутствуют какие-либо уязвимости и недекларированные возможности.
До принятия приказа № 240 эти мероприятия проводились заявителем самостоятельно либо с привлечением испытательной лаборатории. Кроме того, на все испытания в зависимости от типа средства защиты в среднем уходило около 3-х месяцев, что накладывало свои временные издержки. В отдельных случаях сроки могли быть иными.
Теперь благодаря сертификации процессов безопасной разработки данная процедура сократится и упростится в значительной степени.
Приведем пример для иллюстрации
Возьмем изготовителя любого средства антивирусной защиты. У него должен быть сертификат соответствия на свое средство защиты. Допустим, он прошел сертификацию процессов безопасной разработки. Что в результате он получит?
По итогу сертификации своих процессов безопасной разработки ПО средства защиты (антивируса) он сможет при каждом новом обновлении продукта не привлекать испытательную лабораторию, а проводить все необходимые испытания самостоятельно.
А затем подавать полученные результаты по обновленному продукту (средства защиты) во ФСТЭК России.
Примечание
Согласно приказу ФСТЭК России № 55 при внесении изменений в имеющиеся функции безопасности средства защиты, добавлении новых функций безопасности, обновлении версии программного обеспечения заявитель может проводить испытания самостоятельно или с привлечением испытательной лаборатории.
Однако эта возможность имеется только до 1 января 2025 года. Чтобы иметь возможность и далее самостоятельно проводить испытания при внесении изменений, необходимо получить сертификат соответствия процедур безопасной разработки программного обеспечения.
Таким образом, основные задачи нового вида сертификации:
- сократить сроки дополнительных мероприятий по подтверждению отсутствия уязвимостей в обновленном средстве защиты;
- сократить период, в рамках которого будет подтверждаться, что обновленная версия продукта безопасна;
- сэкономить значительную часть финансов изготовителя средств защиты.
В чем ключевые отличия нового вида сертификации?
Во-первых, ранее в сертификации средств защиты участвовало 4 субъекта. Это заявитель, испытательная лаборатория, орган по сертификации и ФСТЭК России, как федеральный орган исполнительной власти по сертификации. Сейчас это количество сократилось до 3-х. Это заявитель, орган по сертификации и ФСТЭК России.
Во-вторых, органам сертификации нужно будет получить новую форму аккредитации, чтобы проводить сертификацию процессов безопасной разработки и все испытания в рамках нее.
В-третьих, сертификация процессов безопасной разработки осуществляется на соответствие требованиям национального стандарта ГОСТ Р 56939-2016, который содержит общие требования по разработке безопасного ПО. В нем же установлен перечень процессов безопасной разработки, наличие которых будет проверяться при проведении сертификации.
В-четвертых, заявитель обязан на первом этапе подготовить документацию, которая будет описывать процесс разработки безопасного программного обеспечения именно у него. Затем подать заявку с подготовленной документацией во ФСТЭК России. Только после рассмотрения заявки ФСТЭК России разрешит проходить процедуру сертификации и подтверждать все условия.
В-пятых, орган по сертификации как уполномоченное лицо сможет проводить сами испытания процессов безопасной разработки, которые внедрены непосредственно у заявителя, а также будет смотреть, все ли соответствует требованиям национального стандарта ГОСТ Р 56939-2016.
Какие основные процессы проверяются в ходе сертификации процессов безопасной разработки ПО средств защиты информации?
- Оценка соответствия законодательным требованиям руководства и документации по безопасной разработке программного обеспечения и документации, имеющихся у изготовителя (заявителя);
- Проверка наличия у изготовителя средств разработки ПО, а также средств, предназначенных для проведения композиционного, статического и динамического анализа ПО;
- Проверка реализации изготовителем процессов разработки безопасного ПО, прописанных в руководстве и в документации по безопасной разработке ПО;
- Проверка реализации изготовителем процедур поддержки безопасности ПО;
- Проверка выполнения требований к обучению специалистов изготовителя, участвующих в реализации процессов безопасной разработки ПО.
Срок выдаваемого сертификата соответствия
Сертификат соответствия процессов разработки безопасного ПО будет выдаваться на 3 года, в отличие от сертификата соответствия средств защиты информации, который выдается на 5 лет.
Сокращение срока действия сертификата вызвано тем, что разработка безопасного программного обеспечения – процесс непрерывный, может регулярно видоизменяться. И необходимо, чтобы заявитель поддерживал этот процесс всегда в актуальном состоянии. Чтобы избежать такого большого разрыва в 5 лет, и осуществлять регулярный контроль за тем, как процессы обеспечиваются и реализуются, регулятор сократил срок действия сертификата соответствия.
Что еще можно посмотреть по новому приказу ФСТЭК России № 240?
Подробно о новом документе также в рамках ТБ-Форума 2024 говорил Д.Н. Шевцов, начальник 2-ого управления ФСТЭК России. Смотрите его выступление в записи с 4.00.00.
О новом приказе он начинает говорить с 4:25:46. В выступлении озвучены основные этапы сертификации, из чего состоит и особенности.
Материал подготовил Степан Харитонов, руководитель сектора безопасной разработки