Пожалуй, одной из важных задач Института цифровых технологий в 2022 году является прохождение сертификационных испытаний для вывода на российский рынок уникального мощного, а главное доверенного, комплекса ПО, решающего широкий спектр задач промышленных предприятий. Речь идет о пяти программных модулях: Технологическая платформа с-стек и java-стек, СУБД «Синергия БД», Гипервизор и Тонкий клиент.
Все мы знаем, что эффективная система поддержки жизненного цикла разрабатываемых продуктов СПЖЦ «ЦП» основывается на слаженной работе продуктовой команды, применении комплекса мер по разработке безопасного ПО, наличии необходимого оснащения, нормативно-методической базы и консультационно-методической помощи специалистов по информационной безопасности.
При этом каждый из владельцев продуктов столкнется со следующими сложностями в процессе прохождения сертификации: с экспертизой свидетельств разработчика и документации по процессам разработки безопасного ПО, выездной проверкой производства программных изделий, с необходимостью оперативного устранения замечаний, выявленных в процессе сертификации, а также с трудоемким процессом согласования отчетных материалов сертификационных испытаний с назначенным органом с целью получения экспертного заключения и со ФСТЭК России с целью получения сертификатов соответствия.
Уязвимости и недостатки так или иначе присутствуют в любом разрабатываемом ПО. Когда речь идет о выводе на рынок уникального комплекса программ тяжелого класса, предназначенного для обработки сведений, составляющих государственную тайную, – требования безопасности предъявляются максимально жесткие. Наша важнейшая задача – это выявление и устранение уязвимостей и недостатков программного кода не только на этапах разработки и сертификации, но и при поддержке продукта после поставки конечному пользователю. Описание данных процедур приведено в нашей документации по процессам разработки безопасного ПО и производства СПЖЦ «ЦП». И чем больше проблем с безопасностью будет закрыто на этапе разработки, тем легче пройдет этап сертификации.
Важно знать, что оценка соответствия установленным требованиям безопасности проводится внешней независимой лабораторией и основывается на документарной экспертизе. Экспертизе подвергаются не только регламенты и руководящие документы, но и документы, подтверждающие фактические действия разработчиков в части обеспечения безопасности. Таким образом, все действия разработчика, направленные на повышение уровня защищенности программного кода должны фиксироваться в комплекте тестовой документации, которую необходимо предъявить в процессе сертификации. В некоторых случаях данная проверка производится путем дополнительного интервьюирования или анкетирования разработчиков. Поэтому, один из критериев успешной сертификации — это не только знание регламентов процессов производства и разработки безопасного ПО, но и умение их применять на практике.