Алексей Сухов: Сертификат ФСТЭК России — это показатель зрелости компании, продукта и выстроенных процессов

В апреле 2023 года компания «Сайберпик» получила сертификат ФСТЭК России на систему класса «аудит и защита данных» / «управление доступом к данным» (DCAP / DAG) «Спектр». Система стала первым сертифицированным продуктом такого рода на отечественном рынке. О том, что входит в требования по безопасности государственного уровня и как «Сайберпик» выстраивает внутреннюю защиту своего флагманского решения, нам рассказали Сергей Добрушский, директор по развитию продуктов, и Алексей Сухов, коммерческий директор компании.

Вы стали первой компанией, чей продукт класса DCAP / DAG — «Спектр» — получил сертификат ФСТЭК России. Расскажите: для чего нужна сертификация ИБ-решению?

Алексей Сухов: Начнём с того, что сертификация продукта по требованиям ФСТЭК России — это исключительно желание вендора, а не обязательное предписание. Есть определённые отрасли, в которых могут использоваться только сертифицированные решения, что гарантирует отсутствие недекларированных возможностей и наличие реализованных функций безопасности, подтверждённых на государственном уровне.

Также это — показатель зрелости компании, продукта и выстроенных процессов, которые дают нашим клиентам уверенность в возможности использования этого решения для защиты своих информационных активов.

Как долго длился этот процесс и из каких этапов он состоял? Как изменился процесс сертификации в 2022 году?

Сергей Добрушский: Для нас процесс сертификации начался в 2021 году и занял почти полтора года. Стоит отметить, что ещё на этапе проработки архитектуры «Спектра» мы ориентировались на требования к продуктам по информационной безопасности, предъявляемые при сертификации. Это касается и возможности полноценной установки системы «Спектр» на российских сертифицированных ОС, и полной независимости от сторонних компонентов и библиотек, а также ряда функциональных требований, в число которых входит безопасность самого продукта и доступа к нему.

Если говорить про этапы сертификации, то можно выделить следующие. Первый — выбор испытательной лаборатории. Этап действительно очень важен, так как вместе с представителями испытательной лаборатории выполняется большая часть всех работ.

Далее идёт работа по подготовке документации, причём это, конечно же, не просто процесс написания документов — это, по сути, отражение всех технических аспектов как продукта, так и выстроенных в компании процессов.

Отдельный этап — выстраивание и подтверждение процессов безопасной разработки. Это очень большая часть работ, и её длительность сильно зависит от уровня зрелости компании и компетенций команды.

Прохождение внутреннего тестирования, как функционального, поскольку продукт должен соответствовать заявленным требованиям, так и по части безопасности — это уже финальный этап.

Если говорить про изменения процесса сертификации, не будем ограничиваться 2022 годом. В целом все последние изменения, транслируемые сообществом и ФСТЭК России, направлены на практическую безопасность. Это однозначно положительно сказывается на качестве продуктов, которые сумели пройти сертификацию, но при этом требует весьма больших ресурсов от компании-разработчика.

Наша компания активно участвует в жизни сообщества в части доверенной разработки и смежных направлений, поэтому наш подход к разработке выстраивается всегда с некоторым резервом на потенциальные изменения в процессах сертификации. Второе направление, отражение которого мы в последнее время видим при сертификации, — это максимальная импортонезависимость разрабатываемых продуктов, от понятных требований по поддержке сертифицированных российских ОС до полного проецирования процессов безопасной разработки на любые заимствованные компоненты.

Такой подход также в перспективе гарантирует заказчикам, использующим сертифицированные решения, работоспособность продукта вне зависимости от доступности сторонних библиотек.

Почему именно «Спектр» стал тем решением, которое прошло сертификацию ФСТЭК России первым?

А. С.: Рынок решений DCAP / DAG в России сейчас сильно растёт, в том числе и по количеству вендоров. Мы стали одним из первых и наиболее заметных российских разработчиков в этом классе.

При этом мы изначально ориентировались на российский рынок и его задачи, на компании уровня крупного бизнеса (Enterprise). Именно поэтому мы выстроили и совершенствуем процессы обучения наших партнёров и конечных заказчиков, минимизируем время реакции на обращения к технической поддержке и многое другое.

В первую очередь это касается подходов к разработке продуктов, начиная от архитектурных вопросов и заканчивая процессами безопасной разработки. Также это проявляется и в части обучения наших партнёров и конечных заказчиков, реакции на обращения к технической поддержке.

Не скажу, что процессы безопасной разработки в нашей компании выстраивались с нуля. Опыт нашей команды позволяет использовать уже имеющиеся компетенции, поэтому тут, в отличие от других компаний, у нас было существенное преимущество.

Сертификация для компании-разработчика — это весьма большие затраты, как денежные, так и в части вовлечённых в процесс человеческих ресурсов. Специалисты по тестированию случайными данными (fuzzing), статическому и динамическому анализу, а также инженеры безопасной разработки (DevSecOps) сейчас крайне ценны на рынке, и мы с гордостью говорим, что все эти компетенции у нас есть.

О чём должно говорить наличие сертификата клиентам компании?

А. С.: В первую очередь, это даёт понимание зрелости компании-разработчика с точки зрения выстроенных внутренних процессов. Во вторую — свидетельствует, что клиент приобретает продукт, безопасность которого подтверждена на государственном уровне. И, конечно же, это — подтверждение того, что систему «Спектр» можно использовать в государственных информационных системах до первого класса защищённости, информационных системах персональных данных до первого уровня защищённости, автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) до первого класса защищённости, на значимых объектах критической информационной инфраструктуры (КИИ) России.

Добавлю, что это — наивысший уровень доверия к СЗИ в организациях, которые не обрабатывают государственную тайну.

Сергей Добрушский

Директор по развитию продуктов компании «Сайберпик»

Сергей Добрушский родился 31 июля 1987 года. Окончил Нижегородский государственный университет имени Н. И. Лобачевского (физический факультет, кафедра информационных систем и технологий).

Участвовал в проектах по созданию систем защиты данных крупнейших российских компаний. Автор публикаций в области информационной безопасности и участник отраслевых конференций. С 2021 года работает в компании «СайберПик» на позиции директора по развитию продуктов.

Почему для продукта важна внутренняя защита?

С. Д.: Начнём с того, что продукты по информационной безопасности, и в первую очередь — те, которые нацелены на защиту данных, обрабатывают большие массивы информации. Это могут быть и персональные данные, и коммерческая тайна, да и вообще любые типы конфиденциальной информации, в зависимости от сферы деятельности организации. Многие наши клиенты при внедрении подобных продуктов задают вопрос: не станет ли «Спектр» ещё одной точкой, где скапливаются наиболее значимые данные, доступ к которой также необходимо будет контролировать? Вопрос действительно крайне важен: если мы вспомним громкие инциденты 2022 года, то среди них присутствовали утечки непосредственно из систем информационной безопасности. Именно поэтому для нас как для разработчиков вопрос внутренней защиты является одним из центральных.

Если говорить про основные аспекты внутренней защиты нашей системы, то можно их разбить на функциональные и внешние. К функциональным аспектам относится гибкое разграничение прав доступа к возможностям системы и к данным, которые она обрабатывает и сохраняет. Должна присутствовать настройка парольной политики, которая в части сложности паролей, их срока действия, времени неактивности пользовательской сессии и многих других параметров соответствует самым жёстким требованиям. Сюда же относится внутреннее логирование всех событий системы: в «Спектре» они сохраняются в максимально детализированном виде, чтобы всегда было видно, кто запрашивал информацию, когда, какую именно.

Ко внешним аспектам относятся автоматическая настройка внутреннего межсетевого экрана, закрытие уязвимостей всех компонентов продукта, невозможность внешней авторизации во внутренних системах хранения данных и, конечно же, постоянный процесс тестирования продукта с точки зрения безопасности, который у нас интегрирован в общий процесс разработки.

Все эти пункты детально прорабатываются и проверяются на этапе сертификации и выделены в заявляемые и подтверждённые нами функции безопасности продукта.

Ни одна современная система не обходится без заимствованных модулей, библиотек, баз данных. Какие важные аспекты сертификации распространяются на них?

С. Д.: Действительно, любой программный продукт для полноценной инсталляции требует как минимум операционной системы и базы данных, а часто — и других, уже разработанных свободно распространяемых модулей, которые интегрируются с решением. Система «Спектр» в этом случае не является исключением, ведь адаптация готовых компонентов под свои прикладные задачи позволяет сделать продукт более производительным и надёжным. С точки зрения сертификации мы ещё до старта работ выбрали для себя, как мы считаем, единственно правильный подход. Весь продукт собирается из исходного кода вне зависимости от того, присутствуют ли в свободном доступе уже готовые компоненты.

Для нас все составные части продукта являются своими. Продукт находится полностью на нашей технической поддержке, ко всем его компонентам предъявляются общие требования по безопасности. Более того, с учётом современных рисков исходный код всех используемых нами при разработке библиотек также находится в наших внутренних репозиториях и собирается нашими инженерами. Эти работы мы начали выполнять ещё до сертификации, что позитивно повлияло на сроки.

Как ещё повлиял процесс сертификации на разработку системы «Спектр»?

С. Д.: У нас не было возможности идти на компромиссы и жертвовать развитием продукта, перераспределяя ресурсы на работу по сертификации, поэтому единственным для нас вариантом было расширение команды, в первую очередь в части инженеров DevSecOps, а также разработчиков. Нам было необходимо в промышленном масштабе внедрить практики безопасной разработки. В этом направлении мы работали совместно с испытательной лабораторией, специалисты которой обладали необходимыми знаниями, а также наращивали внутренние компетенции за счёт внешнего обучения наших инженеров.

Как результат, на сегодняшний день каждый выпуск продукта, каждая промежуточная корректирующая сборка соответствуют принятым в нашей компании стандартам, которые в свою очередь опираются на методику ФСТЭК России по выявлению уязвимостей и недекларированных возможностей, а также на внешние практики и базы знаний в этом направлении.

Важно осознавать, что сертификация — это не «наличие продукта в реестре». В первую очередь это — выстроенные процессы и подход компании к созданию продуктов. Сейчас мы понимаем, что каждая последующая сертификация новых решений, каждое проведение инспекционного контроля в случае обновления модулей, влияющих на функции безопасности нашего продукта, будут проходить для нас уже абсолютно прогнозируемо по срокам. В дорожной карте развития нашей компании уже запланированы новые мероприятия по сертификации, но это — тема отдельного интервью.

Спасибо за беседу. Желаем удачи и успеха!

Реклама. Рекламодатель ООО «Сайберпик», ИНН 9725025175