Всем привет! На связи АЭРОДИСК!
В этой статье мы расскажем вам про новое направление компании АЭРОДИСК – Цифровое пространство безопасности (ЦПБ). ЦПБ – продукт, созданный для наших партнеров — интеграторов для оказания помощи по вопросам информационной безопасности конечным заказчикам. Данный продукт — набор лицензируемых нашими регуляторами консалтинговых услуг в области информационной безопасности, который родился из необходимости организации безопасной разработки внутри АЭРОДИСК-а. Как так получилось, что из организации внутреннего процесса получился новый ИБ-продукт, читаем ниже и/или смотрим вебинар «ОколоИТ» 27 октября 2022 года в 15:00. Регистрация по ссылке.
Куда приводит желание создать безопасную СХД?
Последние несколько лет мы стали получать все больше запросов от наших партнеров и заказчиков на реализацию требований по безопасности для ГИС, КИИ и ИСПДн. При этом вопросы касались не только безопасности нашего оборудования и программного обеспечения (т.е. наличие сертификатов ФСТЭК и МинОбороны). К нам обращались также за помощью при внедрении наших и смежных продуктов в защищенные контуры заказчиков. Тогда мы задумались об обеспечении информационной безопасности наших продуктов, которые все чаще стали внедряться в информационные системы с высоким уровнем важности из-за циркулирующей в них информации. Это, собственно, и стало катализатором развития нашего ИБ-направления.
1. Сертификация ФСТЭК России и внедрение процессов безопасной разработки
Мы решили начать сначала – то есть сертифицировать наше программное обеспечение, входящее в состав наших программно-аппаратных комплексов, на соответствие техническим условиям и уровню доверия 4.
На первых этапах мы столкнулись с новыми для нас требованиями: требованиями доверия и требованиями по безопасной разработке (пишем не только чистый код, но и безопасный!). Одной из приоритетных задач для нас стала сертификация программного обеспечения по требованиям ФСТЭК России. И именно для реализации данной задачи нам необходимо было внедрить процесс безопасной разработки (далее — БР) в обязательном порядке.
Так с чего же начать процесс внедрения БР?
Мы начали с построения модели угроз и аудита процесса разработки в целом. При построении модели угроз, мы использовали банк данных угроз безопасности информации ФСТЭК России («http://bdu.fstec.ru»), базы данных уязвимостей программного обеспечения: «Common Vulnerabilities and Exposures (CVE)», «CVE Details», «National Vulnerability Database». Также не забывали про использование риск-ориентированного подхода к обеспечению информационной безопасности нашего ПО, ориентируясь на международные практики.
При анализе нашего процесса разработки, мы обнаружили, что наш уровень тестирования программного обеспечения достаточного высок и большая часть процессов уже внедрена, но требуется улучшить документирование, а самое важное – контроль за данным процессом.
До внедрения процесса БР мы выполняли следующие виды тестирования:
-
Code Review;
-
Статический анализ кода стандартными средствами разработки;
-
Ручное функциональное тестирование;
-
Автоматизированное функциональное тестирование (включая фаззинг-тестирование).
Изучив весь процесс, мы решили обеспечить выполнение дополнительных требований БР, которые не были реализованы, и улучшить существующие процессы тестирования. Отправной точкой здесь стало внедрение Open Source решений. Данные решения помогли нам понять, какие моменты мы еще не учли, и адаптировать процесс разработки под новые реалии.
Решения, которые мы стали использовать:
-
Статический анализ кода (SAST): SonarQube + Gitlab
-
Динамический анализ кода (DAST): Owasp ZAP
-
Проведение тестирования на проникновение (при выпуске глобальных обновлений)
Для улучшения существующих видов тестирования мы пересмотрели текущие тесты и добавили новые способы тестирования. Впоследствии это помогло нам найти ошибки, и мы ввели новые правила валидации вводимых данных.
Все эти процессы документированы в соответствии с ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
2. Интеграция с сертифицированными средствами защиты информации
Однако сертификация – это достаточно долгий процесс, а безопасные решения нужны были «прямо здесь и сейчас». Поэтому параллельно мы начали искать альтернативные варианты, которые помогли бы соблюсти требования к защищенным контурам ИТ-инфраструктуры наших заказчиков и партнеров. Поиски нас привели к ряду известных отечественных производителей средств защиты информации. После изучения всей информации свое предпочтение мы отдали продуктам компании ОКБ САПР.
Для обеспечения доверенной загрузки систем хранения данных АЭРОДИСК Engine и Восток мы выполнили интеграцию продукта Аккорд-МКТ со своими СХД. Аккорд-МКТ — это программное средство доверенной загрузки, которое встраивается в базовую систему ввода-вывода (БСВВ) микрокомпьютеров и ЭВМ на базе процессоров с архитектурой x86-64 и e2k.
Для обеспечения безопасности нашей виртуализации АЭРОДИСК АИСТ и гиперконвергентной системы АЭРОДИСК vAIR мы интегрировали Аккорд-KVM и дополнительно для защиты операционной системы – продукт Аккорд Х К.
В течение нескольких месяцев мы проводили испытания наших продуктов в связке с «Аккордами» и добились положительных результатов, после чего оформили сертификаты совместимости и углубили и расширили стали применять в совместных проектах.
Уже реализовано несколько проектов с применением наших решений в защищенном исполнении. Например, один из них – у крупного государственного заказчика. Внедрили в защищенный контур нашу гиперконвергентную систему АЭРОДИСК vAIR (ПАК АЭРОДИСК Machine-V) со средствами защиты информации от ЗАО «ОКБ САПР» (Аккорд Х К, Аккорд-МКТ и Аккорд-KVM).
3. Внешний консалтинг
Реализовав внутренние задачи по безопасной разработке и интегрировав внешние СЗИ в наши продукты, мы переключили фокус своего внимания на другие задачи, с которыми к нам часто обращались. В частности, на консультации для наших партнеров и заказчиков по вопросам правового обеспечения информационной безопасности.
Оказалось, что нельзя просто так взять и начать предоставлять консультации по информационной безопасности, для этого требуются соответствующие знаки отличия и похвальные грамоты лицензии и сертификаты, которые мы в итоге и получили (см. спойлер).
Знаки отличия и похвальные грамоты
-
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации № 3957 от 20.08.2021 г.
-
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации № 2019 от 20.08.2021 г.
-
Лицензия ФСБ на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, рег. № 18688/Н от 11.11.2021 г.
-
Лицензия ФСБ на проведение работ, связанных с использованием сведений, составляющих государственную тайну рег. № 35674 от 15.03.2021 г., действительна до 01.11.2023 г. Степень секретности разрешенных к использованию сведений – секретно.
-
Лицензия Минобороны России на проведение работ, связанных с созданием средств защиты информации рег. № 2089 от 12.11.2021 г., действительна до 12.11.2026 г.
-
Лицензия ФСТЭК России на проведение работ, связанных с созданием средств защиты информации рег. № 3707 от 22.04.2022 г., действительна до 22.04.2027 г.
В итоге, внедрив процессы безопасной разработки, создав защищенное исполнение наших продуктов и получив соответствующие лицензии, нам удалось собрать паззл и создать наш новый продукт, который получил название: Цифровое Пространство Безопасности (ЦПБ).
Цифровое Пространство Безопасности – это консалтинговое
направление компании АЭРОДИСК, которое комплексно решает задачи в сфере информационной безопасности.
Для каких задач и для каких организаций эти услуги актуальны?
-
Финансовые организации, для которых актуально соответствие требованиям 683-П, 719-П, 747-П, 757-П;
-
Операторы персональных данных, которым требуется анализ защищенности информационных систем и соответствие требованиям 152-ФЗ;
-
Субъекты КИИ (критической информационной инфраструктуры), которым нужно оценить соответствие требованиям 187-ФЗ, провести категорирование объектов КИИ и внедрить процессы безопасной разработки в соответствии с требованиями приказа ФСТЭК России № 239;
-
Компании государственного сектора с популярной задачей аттестации ГИС по требованиям безопасности информации;
-
Промышленность и АСУ ТП, в потребности которых входит оценка защищенности информационных систем и построение комплексной системы информационной безопасности;
-
Компании-ритейлеры, которым нужно защитить коммерческую тайну.
Как работает ЦПБ?
Для всего каталога услуг предусмотрен стандартный набор шагов:
1. Определяем нормативные требования регуляторов, актуальные для конкретного бизнеса;
2. Проводим аудит информационной безопасности;
3. Проектируем защищенный контур сети организации с учетом всех требований ИБ;
4. Помогаем с поставкой и внедрением необходимого оборудования;
5. Разрабатываем ОРД в области информационной безопасности;
6. Проводим аттестацию по требованиям безопасности информации.
Отдельным «длинным» шагом являются услуги поддержки, которые предоставляются по набирающей популярности модели MSSP (или «безопасность как сервис»). Суть поддержки заключается в переаттестации объектов в случае их изменения/модернизации и/или изменения требований регуляторов, что также включает в себя актуализацию всей нормативной документации по ИБ предприятия.
Как распространяется услуга?
Модель распространения услуг не отличается от других продуктов АЭРОДИСК. Как и другие продукты АЭРОДИСК, услуги распространяются только через авторизованных партнеров — системных интеграторов. Системные интеграторы в такой модели также получают свой бонус. Мы помогаем им провести аттестацию объектов ИТ-инфраструктуры для заказчиков, консультируем специалистов интегратора по вопросам соответствия объектов заказчика требованиям ИБ. И при необходимости совместно с интеграторами помогаем спроектировать защищенный контур ИТ-инфраструктуры.
Полный перечень услуги с парт-номерами ниже:
Парт номера и описание услуг
|
Парт-номер |
Категория услуги |
Наименование услуги |
|
CPAS — ARM1 |
Аттестация |
Аттестация автоматизированного рабочего места (АРМ) |
|
CPAS — ISP1
|
Аттестация |
Аттестация информационной системы персональных данных (ИСПДн) |
|
CPAS — GIS1 |
Аттестация |
Аттестация государственной информационной системы (ГИС) |
|
CPAS — ZIM1 |
Аттестация |
Аттестация защищаемых помещений |
|
CPAV — IBP1 |
Аудит и консалтинг |
Аудит информационной безопасности |
|
CPAV — STI1 |
Аудит и консалтинг |
Комплексная оценка соответствия требованиям информационной безопасности |
|
CPAV — PDN1 |
Аудит и консалтинг |
Оценка соответствия требованиям 152-ФЗ «О персональных данных» |
|
CPAV — SKO1 |
Аудит и консалтинг |
Оценка соответствия требованиям 98-ФЗ «О коммерческой тайне» |
|
CPAV — GOS1 |
Аудит и консалтинг |
Оценка соответствия требованиям ГОСТ 57580 |
|
CPAV — OUD1 |
Аудит и консалтинг |
Оценка соответствия требованиям ОУД 4 |
|
CPAV — ORD1 |
Аудит и консалтинг |
Разработка организационно-распорядительной документации по ИБ |
|
CPAV — KII1 |
Аудит и консалтинг |
Категорирование объектов КИИ |
|
CPPV — PBR1 |
Проектирование и внедрение |
Внедрение процессов безопасной разработки |
|
CPPV — MYN1 |
Проектирование и внедрение |
Разработка моделей угроз и нарушителя ИБ |
|
CPPV — PSZ1 |
Проектирование и внедрение |
Проектирование в защищенном исполнении информационных систем |
|
CPPV — VCZ1 |
Проектирование и внедрение |
Внедрение средств защиты информации |
|
CPPV — PCZ1 |
Проектирование и внедрение |
Поставка средств защиты информации |
|
CPAU — ANZ1 |
Анализ защищенности |
Анализ защищенности веб и мобильных приложений |
|
CPAU — AIC1 |
Анализ защищенности |
Аудит исходного кода |
|
CPAU — TPP1 |
Анализ защищенности |
Тестирование на проникновение приложений |
|
CPAU — AZI1 |
Анализ защищенности |
Анализ защищенности инфраструктуры |
|
CPAU — TPI1 |
Анализ защищенности |
Тестирование на проникновение инфраструктуры |
|
CPAU — ASZ1 |
Анализ защищенности |
Анализ защищенности АСУ ТП |
|
CPAU — TPZ1 |
Анализ защищенности |
Тестирование на проникновение АСУ ТП |
Заключение
Надеемся, что этой статьей мы причинили вам добро и пользу. Мы не только хотели прорекламировать наш новый продукт (это само собой), но и показать, что даже в классической разработке какие-то побочные истории в вашем бизнесе при желании могут вполне успешно сформироваться в новый актуальный для рынка продукт. Главное условие тут – хотеть, то есть искать возможности, а не причины, почему не получится.
Информационная безопасность в России развивается. Только за последние несколько месяцев произошло множество изменений в законодательстве, под которые нужно адаптироваться. Мы рассказали лишь об ограниченном количестве случаев, где необходимо применение мер по защите информации. Да и самих этих мер намного больше. Это не только «аудиты» и «пентесты», но и защита контейнеров, конечных точек, мониторинг ИБ (SOC), комплексная защита АСУ ТП, фишинговые рассылки внутри организации, обучение сотрудников и т.д. Будем периодически возвращаться к этим вопросам в нашем блоге и рассматривать каждый из них более обстоятельно. Ну а всех читателей хотим пригласить на наш вебинар «ОколоИТ», где мы подробнее расскажем о нашем железе в защищенном исполнении, а также обсудим горячие вопросы актуальной ИБ-повестки. Вебинар состоится 27 октября 2022 года в 15:00. Зарегистрироваться на мероприятие можно по ссылке.
Также не забываем про наш Телеграм-канал «Импортозамещение здорового человека», где в ближайшее время также подключим трезвую ИБ-тематику.
Всем спасибо, ждем вопросов и предложений.
ссылка на оригинал статьи https://habr.com/ru/company/aerodisk/blog/693940/
Добавить комментарий