Безопасность как основа
ТЕХНОЛОГИИ / #7_2021
Беседовала Анастасия ВАКУЛЕНКО / Иллюстрация: Envato.com / Фото: Росатом
РАСУ зарегистрировало авторские права на методический документ по безопасной разработке программных и программно-аппаратных комплексов для АСУ ТП. О том, что такое разработка безопасного программного обеспечения (РБПО), о его влиянии на национальный технологический суверенитет, об ужесточении законодательства в этой сфере и нюансах методологии рассказывает директор департамента информационной и компьютерной безопасности АСУ ТП АО «РАСУ» Константин Сахаров.
Биография эксперта
Константин Валерьевич САХАРОВ в 2009 году окончил Московский энергетический институт по специальности «АСУ ТП». В 2013 году получил степень кандидата наук, тема диссертации — «Выбор оптимальных режимов эксплуатации энергоблоков ПГУ при участии их в регулировании мощности энергосистемы».
Работал на различных инженерных и руководящих должностях по направлениям «АСУ ТП» и «Обеспечение информационной безопасности АСУ ТП». В АО «РАСУ» пришел в 2016 году.
Работал на различных инженерных и руководящих должностях по направлениям «АСУ ТП» и «Обеспечение информационной безопасности АСУ ТП». В АО «РАСУ» пришел в 2016 году.
Сегодня на уровне государства все большее внимание уделяется вопросам информационной безопасности. Почему?
Активное развитие цифровых технологий во всех сферах нашей жизни и промышленном производстве сопровождается нарастанием уровня киберугроз. Их потенциальная опасность сравнима с угрозами военного и эпидемиологического характера, а возможно, и выше. Поэтому цифровизация требует одновременного решения вопросов обеспечения информационной безопасности. Иначе невозможно достичь технологического суверенитета. Это вопросы общегосударственного значения, и в реализуемой национальной программе «Цифровая экономика» выделено направление информационной безопасности.
Сегодня государственные органы формируют требования к системам и средствам защиты информации, будь то системы обработки персональных данных или программно-технические комплексы из состава, например, АСУ ТП АЭС, и контролируют их исполнение. Работа ведется на уровне профильных ведомств (Минпромторг, Минцифры) и других федеральных структур. За соблюдением требований к информационной безопасности в информационных и автоматизированных системах, а также средствах защиты информации следят Федеральная служба по техническому и экспортному контролю (ФСТЭК России), а также технические комитеты, задача которых — разработать стандарты в этой области. При поддержке государства развиваются тематические сообщества, объединяющие специалистов в области информационной безопасности по всей стране.
В последнее время все чаще встречается аабревиатура «РБПО». Что это такое?
Для начала разъясню понятие безопасного программного обеспечения в терминах соответствующего ГОСТа: «Программное обеспечение, разработанное с использованием совокупности мер, направленных на предотвращение появления и устранение уязвимостей программы». По большому счету разработка безопасного программного обеспечения (БПО) подразумевает и культуру написания программного кода, и процедуры его контроля и проверки в процессе разработки с использованием различных средств анализа. Цель простая — исключить внутренние ошибки и уязвимости, которые в процессе эксплуатации могут привести к нерегламентированному поведению программы.
Важно также уточнить термин «разработка». Это не только про написание программы, это про весь ее жизненный цикл, начиная с анализа требований и включая техническое сопровождение, модификацию и т. д. Каким бы скрупулезным ни был анализ программного кода, никогда нельзя дать 100% гарантии, что в процессе эксплуатации не проявятся уязвимости. Если говорить о проверках, то набор их разнообразен. Статический анализ предназначен для выявления несоответствий в исходном коде, начиная от потенциально небезопасных конструкций и заканчивая элементарными опечатками.
Другой вид анализа — фаззинг-тестирование — позволяет проверить работающую программу в динамике. Его суть — в проверке реакции программы при подаче на ее «вход» различных данных, в том числе некорректных, неожиданных и случайных. Он помогает выявить сбои и зависания программ. Использование фаззинг-тестирования не только влияет на общий уровень защищенности программы, но и повышает качество работы, делая более предсказуемым поведение системы в различных ситуациях.
В рамках утвержденной в этом году стратегической программы развития РАСУ до 2030 года предусмотрено создание ряда новых продуктов. Повлияют ли на эту программу изменения требований к информационной безопасности и применение методологии РБПО?
Напрямую. Скажу откровенно: стратегическая программа претерпела множество изменений в части требований обеспечения информационной безопасности — за короткий промежуток времени серьезно изменилось законодательство. Одновременно менялась (не в лучшую сторону) международная обстановка в части увеличения количества и разнообразия киберугроз. Стало понятно, что подходы к информационной безопасности, заложенные в первоначальном варианте программы, требуют доработки и детализации.
Утвержденная в 2020 году стратегическая программа полностью соответствует требованиям нового, действующего международного и российского законодательства. Все продукты РАСУ должны разрабатываться по методологии РБПО, проходить все стадии подтверждения соответствия установленным требованиям безопасности, как федеральным — с сертификацией во ФСТЭК России, так и отраслевым — например, с аттестацией в ПАО «Россети».
Как в связи с этим меняются подходы к разработке программных и программно-аппаратных решений?
Можно считать, что в РАСУ работа по формированию и постепенному внедрению процедур и процессов РБПО была начата в конце 2019 года на базе проекта по разработке SCADA (Supervisory Control And Data Acquisition — диспетчерское управление и сбор данных. — Прим. ред.). Уже на первом этапе стало понятно, что подходы к разработке должны существенно измениться. Ранее упор делался исключительно на функциональные аспекты создаваемого ПО. Разработчик, внутренний или внешний, реализовывал программный код согласно техническому заданию, предъявляя его на испытаниях только на этапе завершения работ по релизу. Внутреннее содержание, применяемые конструкции кода досконально не рассматривались, главное — положительные результаты функциональных проверок.
С применением процедур РБПО изменились содержание и порядок разработки ПО. Уже на начальном этапе формулируются требования безопасности к каждому процессу создания продукта: какие средства должны использоваться при разработке, какими должны быть их настройки, каким образом они должны обновляться и т. д. В коде реализуются функции обеспечения безопасности. Процесс разработки стал итерационным, в него включились специалисты, анализирующие код и исследующие программу в динамике, о которых речь шла выше. Код передается на исследование на регулярной основе, часть проверок выполняется непрерывно, часть — с установленной периодичностью, например, раз в две недели. По итогам работ выпускаются отчеты с указанием выявленных недостатков и уязвимостей. На основании этих отчетов разработчики вносят необходимые изменения. Отчеты формируются как в удобном для разработчика формате, так и в приемлемом для аналитиков и аудиторов процессов виде.
Активное и повсеместное применение процедур РБПО в компании только началось. Сейчас мы занимаемся формализацией процессов разработки безопасного ПО, описываем и апробируем их, формируем единую программно-аппаратную инфраструктуру среды разработки и тестирования. Рассчитываем завершить основную работу до конца 2021 года. Оптимизация и развитие процессов не прекратятся в 2022 году, у нас есть план на долгосрочную перспективу.
Вопрос РБПО актуален для многих отраслевых компаний. Одновременно с выстраиванием процессов РБПО внутри РАСУ мы, объединяя усилия Гринатома, КОНСИСТ-ОС, Атомзащитаинформ, АСЭ, Цифрума и других организаций, инициируем общеотраслевой проект, направленный на стандартизацию требований к инфраструктуре среды безопасной разработки на уровне госкорпорации.
Активное развитие цифровых технологий во всех сферах нашей жизни и промышленном производстве сопровождается нарастанием уровня киберугроз. Их потенциальная опасность сравнима с угрозами военного и эпидемиологического характера, а возможно, и выше. Поэтому цифровизация требует одновременного решения вопросов обеспечения информационной безопасности. Иначе невозможно достичь технологического суверенитета. Это вопросы общегосударственного значения, и в реализуемой национальной программе «Цифровая экономика» выделено направление информационной безопасности.
Сегодня государственные органы формируют требования к системам и средствам защиты информации, будь то системы обработки персональных данных или программно-технические комплексы из состава, например, АСУ ТП АЭС, и контролируют их исполнение. Работа ведется на уровне профильных ведомств (Минпромторг, Минцифры) и других федеральных структур. За соблюдением требований к информационной безопасности в информационных и автоматизированных системах, а также средствах защиты информации следят Федеральная служба по техническому и экспортному контролю (ФСТЭК России), а также технические комитеты, задача которых — разработать стандарты в этой области. При поддержке государства развиваются тематические сообщества, объединяющие специалистов в области информационной безопасности по всей стране.
В последнее время все чаще встречается аабревиатура «РБПО». Что это такое?
Для начала разъясню понятие безопасного программного обеспечения в терминах соответствующего ГОСТа: «Программное обеспечение, разработанное с использованием совокупности мер, направленных на предотвращение появления и устранение уязвимостей программы». По большому счету разработка безопасного программного обеспечения (БПО) подразумевает и культуру написания программного кода, и процедуры его контроля и проверки в процессе разработки с использованием различных средств анализа. Цель простая — исключить внутренние ошибки и уязвимости, которые в процессе эксплуатации могут привести к нерегламентированному поведению программы.
Важно также уточнить термин «разработка». Это не только про написание программы, это про весь ее жизненный цикл, начиная с анализа требований и включая техническое сопровождение, модификацию и т. д. Каким бы скрупулезным ни был анализ программного кода, никогда нельзя дать 100% гарантии, что в процессе эксплуатации не проявятся уязвимости. Если говорить о проверках, то набор их разнообразен. Статический анализ предназначен для выявления несоответствий в исходном коде, начиная от потенциально небезопасных конструкций и заканчивая элементарными опечатками.
Другой вид анализа — фаззинг-тестирование — позволяет проверить работающую программу в динамике. Его суть — в проверке реакции программы при подаче на ее «вход» различных данных, в том числе некорректных, неожиданных и случайных. Он помогает выявить сбои и зависания программ. Использование фаззинг-тестирования не только влияет на общий уровень защищенности программы, но и повышает качество работы, делая более предсказуемым поведение системы в различных ситуациях.
В рамках утвержденной в этом году стратегической программы развития РАСУ до 2030 года предусмотрено создание ряда новых продуктов. Повлияют ли на эту программу изменения требований к информационной безопасности и применение методологии РБПО?
Напрямую. Скажу откровенно: стратегическая программа претерпела множество изменений в части требований обеспечения информационной безопасности — за короткий промежуток времени серьезно изменилось законодательство. Одновременно менялась (не в лучшую сторону) международная обстановка в части увеличения количества и разнообразия киберугроз. Стало понятно, что подходы к информационной безопасности, заложенные в первоначальном варианте программы, требуют доработки и детализации.
Утвержденная в 2020 году стратегическая программа полностью соответствует требованиям нового, действующего международного и российского законодательства. Все продукты РАСУ должны разрабатываться по методологии РБПО, проходить все стадии подтверждения соответствия установленным требованиям безопасности, как федеральным — с сертификацией во ФСТЭК России, так и отраслевым — например, с аттестацией в ПАО «Россети».
Как в связи с этим меняются подходы к разработке программных и программно-аппаратных решений?
Можно считать, что в РАСУ работа по формированию и постепенному внедрению процедур и процессов РБПО была начата в конце 2019 года на базе проекта по разработке SCADA (Supervisory Control And Data Acquisition — диспетчерское управление и сбор данных. — Прим. ред.). Уже на первом этапе стало понятно, что подходы к разработке должны существенно измениться. Ранее упор делался исключительно на функциональные аспекты создаваемого ПО. Разработчик, внутренний или внешний, реализовывал программный код согласно техническому заданию, предъявляя его на испытаниях только на этапе завершения работ по релизу. Внутреннее содержание, применяемые конструкции кода досконально не рассматривались, главное — положительные результаты функциональных проверок.
С применением процедур РБПО изменились содержание и порядок разработки ПО. Уже на начальном этапе формулируются требования безопасности к каждому процессу создания продукта: какие средства должны использоваться при разработке, какими должны быть их настройки, каким образом они должны обновляться и т. д. В коде реализуются функции обеспечения безопасности. Процесс разработки стал итерационным, в него включились специалисты, анализирующие код и исследующие программу в динамике, о которых речь шла выше. Код передается на исследование на регулярной основе, часть проверок выполняется непрерывно, часть — с установленной периодичностью, например, раз в две недели. По итогам работ выпускаются отчеты с указанием выявленных недостатков и уязвимостей. На основании этих отчетов разработчики вносят необходимые изменения. Отчеты формируются как в удобном для разработчика формате, так и в приемлемом для аналитиков и аудиторов процессов виде.
Активное и повсеместное применение процедур РБПО в компании только началось. Сейчас мы занимаемся формализацией процессов разработки безопасного ПО, описываем и апробируем их, формируем единую программно-аппаратную инфраструктуру среды разработки и тестирования. Рассчитываем завершить основную работу до конца 2021 года. Оптимизация и развитие процессов не прекратятся в 2022 году, у нас есть план на долгосрочную перспективу.
Вопрос РБПО актуален для многих отраслевых компаний. Одновременно с выстраиванием процессов РБПО внутри РАСУ мы, объединяя усилия Гринатома, КОНСИСТ-ОС, Атомзащитаинформ, АСЭ, Цифрума и других организаций, инициируем общеотраслевой проект, направленный на стандартизацию требований к инфраструктуре среды безопасной разработки на уровне госкорпорации.
Тестирование ПО с помощью статического анализа
Как, с учетом предъявляемых требований к безопасности программного обеспечения и программно-технических комплексов, должно измениться наше взаимодействие с внешними компаниями-подрядчиками?
Ваш вопрос стоит разделить на несколько частей. Одно дело — поставка внешней компанией готового продукта (программно-технического комплекса или системы), другое — выполнение контрактной разработки в рамках договора ОКР. В обоих случаях итоговый продукт должен отвечать требованиям к информационной безопасности и обеспечивать высокий уровень защищенности.
Сегодня для нас и всех наших партнеров важно следовать единым, регламентированным требованиям в части информационной безопасности. Именно на разработку единых правил и стандартов направлен упомянутый отраслевой проект.
В части поставки готовых продуктов для нас важно убедиться в необходимом уровне реализованных на предприятии-поставщике процессов безопасности, поскольку требования безопасности должны соблюдаться во всей цепочке поставщиков системы вне зависимости от уровня и доли участия. С этой целью мы проводим аудиты — это обязательное условие нашего взаимодействия, обеспечивающее защиту разрабатываемой продукции от внешних воздействий. Для использования поставляемых программных и программно-аппаратных продуктов на российских объектах они должны пройти оценку соответствия, часть из них должна быть сертифицирована во ФСТЭК России.
Если говорить о контрактной разработке ПО или программно-технического комплекса внешней компанией по заданию РАСУ, — здесь подход тот же, что и при взаимодействии с разработчиками внутри компании: формируются требования к безопасности, исходный код и дистрибутив программы на регулярной основе передаются на анализ, по его итогам разработчик устраняет выявленные ошибки и уязвимости. Взаимодействие с подрядчиком не всегда выстраивается идеально: необходимы мероприятия по разделению инфраструктур, по безопасной передаче продукта для оценки в РАСУ и т. д. Это, кстати, один из аспектов, который предполагается учесть при формировании единого отраслевого стандарта по безопасной разработке.
Насколько российские требования к информационной безопасности отличаются от зарубежных?
Во многом требования схожи, но сегодня наши более детализированы и проработаны. Разработан целый ряд международных стандартов по кибербезопасности; в отличие от них, в российской нормативной базе более подробно описаны критерии оценки внедрения мер, направленных на обеспечение безопасности, выполнение которых контролирует регулятор.
Международные стандарты носят по большей части рекомендательный характер, указывая направления и векторы развития. Важно то, что наблюдается общая тенденция: и Россия, и другие страны движутся к структуризации и систематизации.
Ваш вопрос стоит разделить на несколько частей. Одно дело — поставка внешней компанией готового продукта (программно-технического комплекса или системы), другое — выполнение контрактной разработки в рамках договора ОКР. В обоих случаях итоговый продукт должен отвечать требованиям к информационной безопасности и обеспечивать высокий уровень защищенности.
Сегодня для нас и всех наших партнеров важно следовать единым, регламентированным требованиям в части информационной безопасности. Именно на разработку единых правил и стандартов направлен упомянутый отраслевой проект.
В части поставки готовых продуктов для нас важно убедиться в необходимом уровне реализованных на предприятии-поставщике процессов безопасности, поскольку требования безопасности должны соблюдаться во всей цепочке поставщиков системы вне зависимости от уровня и доли участия. С этой целью мы проводим аудиты — это обязательное условие нашего взаимодействия, обеспечивающее защиту разрабатываемой продукции от внешних воздействий. Для использования поставляемых программных и программно-аппаратных продуктов на российских объектах они должны пройти оценку соответствия, часть из них должна быть сертифицирована во ФСТЭК России.
Если говорить о контрактной разработке ПО или программно-технического комплекса внешней компанией по заданию РАСУ, — здесь подход тот же, что и при взаимодействии с разработчиками внутри компании: формируются требования к безопасности, исходный код и дистрибутив программы на регулярной основе передаются на анализ, по его итогам разработчик устраняет выявленные ошибки и уязвимости. Взаимодействие с подрядчиком не всегда выстраивается идеально: необходимы мероприятия по разделению инфраструктур, по безопасной передаче продукта для оценки в РАСУ и т. д. Это, кстати, один из аспектов, который предполагается учесть при формировании единого отраслевого стандарта по безопасной разработке.
Насколько российские требования к информационной безопасности отличаются от зарубежных?
Во многом требования схожи, но сегодня наши более детализированы и проработаны. Разработан целый ряд международных стандартов по кибербезопасности; в отличие от них, в российской нормативной базе более подробно описаны критерии оценки внедрения мер, направленных на обеспечение безопасности, выполнение которых контролирует регулятор.
Международные стандарты носят по большей части рекомендательный характер, указывая направления и векторы развития. Важно то, что наблюдается общая тенденция: и Россия, и другие страны движутся к структуризации и систематизации.
Тестирование ПО фаззинг-анализом
Успешность выполнения новых требований, соответствие компании меняющимся условиям во многом зависят от уровня компетенции специалистов. Что в РАСУ с кадрами?
Сейчас в этом плане дела обстоят намного лучше, чем два года назад, когда в компании формировались и внедрялись процедуры РБПО. В начале 2020 года на Саровской площадке сформировался костяк специалистов, который мы сейчас расширяем и усиливаем. В середине 2021 года вся деятельность компании в части продуктов по информационной безопасности была централизована — все специалисты теперь сосредоточены в едином Департаменте информационной и компьютерной безопасности Дирекции проектирования.
Набор персонала — очень непростой процесс, наша профессиональная область довольно узкая: нужно понимать, что такое АСУ ТП и как обеспечивать ее безопасность. Специалистов на рынке мало, их стоимость растет, работодатели за них борются: в связи с ужесточением национального законодательства в части информационной безопасности многие отечественные компании активно развивают это направление. Наша цель — создать команду, участники которой будут непрерывно обучаться, обмениваться опытом. Мы уделяем особое внимание вновь принятым сотрудникам, способствуем их адаптации и развитию. При этом под обучением (а оно сегодня очень важно) понимается не только прохождение специализированных курсов, но и участие в профильных семинарах, конференциях, митапах, а также получение практических навыков в ходе реализации проектов компании.
Наставничество и внутренний трансфер знаний -одно из приоритетных направлений в нашей кадровой политике. Уже заключены рамочные договоры с рядом ключевых вузов и апробирован подход к «бесшовному включению» молодых специалистов в реализуемые проекты.
Каким вы видите развитие направления РБПО?
Лет через пять хотелось бы сформироваться в признанный (как минимум на отраслевом уровне) центр компетенций по безопасной разработке, способствующий развитию направления РБПО в коммерческих проектах автоматизации, координирующий деятельность разработчиков ПО и ПТК, обеспечивая соответствие продуктов самым жестким требованиям потенциальных потребителей в части информационной безопасности как на атомном, так и на неатомном рынке.
Сейчас в этом плане дела обстоят намного лучше, чем два года назад, когда в компании формировались и внедрялись процедуры РБПО. В начале 2020 года на Саровской площадке сформировался костяк специалистов, который мы сейчас расширяем и усиливаем. В середине 2021 года вся деятельность компании в части продуктов по информационной безопасности была централизована — все специалисты теперь сосредоточены в едином Департаменте информационной и компьютерной безопасности Дирекции проектирования.
Набор персонала — очень непростой процесс, наша профессиональная область довольно узкая: нужно понимать, что такое АСУ ТП и как обеспечивать ее безопасность. Специалистов на рынке мало, их стоимость растет, работодатели за них борются: в связи с ужесточением национального законодательства в части информационной безопасности многие отечественные компании активно развивают это направление. Наша цель — создать команду, участники которой будут непрерывно обучаться, обмениваться опытом. Мы уделяем особое внимание вновь принятым сотрудникам, способствуем их адаптации и развитию. При этом под обучением (а оно сегодня очень важно) понимается не только прохождение специализированных курсов, но и участие в профильных семинарах, конференциях, митапах, а также получение практических навыков в ходе реализации проектов компании.
Наставничество и внутренний трансфер знаний -одно из приоритетных направлений в нашей кадровой политике. Уже заключены рамочные договоры с рядом ключевых вузов и апробирован подход к «бесшовному включению» молодых специалистов в реализуемые проекты.
Каким вы видите развитие направления РБПО?
Лет через пять хотелось бы сформироваться в признанный (как минимум на отраслевом уровне) центр компетенций по безопасной разработке, способствующий развитию направления РБПО в коммерческих проектах автоматизации, координирующий деятельность разработчиков ПО и ПТК, обеспечивая соответствие продуктов самым жестким требованиям потенциальных потребителей в части информационной безопасности как на атомном, так и на неатомном рынке.
ДРУГИЕ МАТЕРИАЛЫ #7_2021