Всем привет! На связи АЭРОДИСК!

В этой статье мы расскажем вам про новое направление компании АЭРОДИСК – Цифровое пространство безопасности (ЦПБ). ЦПБ – продукт, созданный для наших партнеров - интеграторов для оказания помощи по вопросам информационной безопасности конечным заказчикам. Данный продукт - набор лицензируемых нашими регуляторами консалтинговых услуг в области информационной безопасности, который родился из необходимости организации безопасной разработки внутри АЭРОДИСК-а. Как так получилось, что из организации внутреннего процесса получился новый ИБ-продукт, читаем ниже и/или смотрим вебинар "ОколоИТ" 27 октября 2022 года в 15:00. Регистрация по ссылке.

Куда приводит желание создать безопасную СХД?

Последние несколько лет мы стали получать все больше запросов от наших партнеров и заказчиков на реализацию требований по безопасности для ГИС, КИИ и ИСПДн. При этом вопросы касались не только безопасности нашего оборудования и программного обеспечения (т.е. наличие сертификатов ФСТЭК и МинОбороны). К нам обращались также за помощью при внедрении наших и смежных продуктов в защищенные контуры заказчиков. Тогда мы задумались об обеспечении информационной безопасности наших продуктов, которые все чаще стали внедряться в информационные системы с высоким уровнем важности из-за циркулирующей в них информации. Это, собственно, и стало катализатором развития нашего ИБ-направления.

1. Сертификация ФСТЭК России и внедрение процессов безопасной разработки

Мы решили начать сначала – то есть сертифицировать наше программное обеспечение, входящее в состав наших программно-аппаратных комплексов, на соответствие техническим условиям и уровню доверия 4.

На первых этапах мы столкнулись с новыми для нас требованиями: требованиями доверия и требованиями по безопасной разработке (пишем не только чистый код, но и безопасный!). Одной из приоритетных задач для нас стала сертификация программного обеспечения по требованиям ФСТЭК России. И именно для реализации данной задачи нам необходимо было внедрить процесс безопасной разработки (далее - БР) в обязательном порядке.

Так с чего же начать процесс внедрения БР?

Мы начали  с построения модели угроз и аудита процесса разработки в целом. При построении модели угроз, мы использовали банк данных угроз безопасности информации ФСТЭК России («http://bdu.fstec.ru»), базы данных уязвимостей программного обеспечения: «Common Vulnerabilities and Exposures (CVE)», «CVE Details», «National Vulnerability Database». Также не забывали про использование риск-ориентированного подхода к обеспечению информационной безопасности нашего ПО, ориентируясь на международные практики.

При анализе нашего процесса разработки, мы обнаружили, что наш уровень тестирования программного обеспечения достаточного высок и большая часть процессов уже внедрена, но требуется улучшить документирование, а самое важное – контроль за данным процессом.

 До внедрения процесса БР мы выполняли следующие виды тестирования:

• Code Review;

• Статический анализ кода стандартными средствами разработки;

• Ручное функциональное тестирование;

• Автоматизированное функциональное тестирование (включая фаззинг-тестирование).

Изучив весь процесс, мы решили обеспечить выполнение дополнительных требований БР, которые не были реализованы, и улучшить существующие процессы тестирования. Отправной точкой здесь стало внедрение Open Source решений. Данные решения помогли нам понять, какие моменты мы еще не учли, и адаптировать процесс разработки под новые реалии.

Решения, которые мы стали использовать:

• Статический анализ кода (SAST): SonarQube + Gitlab

• Динамический анализ кода (DAST): Owasp ZAP

• Проведение тестирования на проникновение (при выпуске глобальных обновлений)

Для улучшения существующих видов тестирования мы пересмотрели текущие тесты и добавили новые способы тестирования. Впоследствии это помогло нам найти ошибки, и мы ввели новые правила валидации вводимых данных.

Все эти процессы документированы в соответствии с ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

2. Интеграция с сертифицированными средствами защиты информации

Однако сертификация – это достаточно долгий процесс, а безопасные решения нужны были «прямо здесь и сейчас». Поэтому параллельно мы начали искать альтернативные варианты, которые помогли бы соблюсти требования к защищенным контурам ИТ-инфраструктуры наших заказчиков и партнеров.  Поиски нас привели к ряду известных отечественных производителей средств защиты информации. После изучения всей информации свое предпочтение мы отдали продуктам компании ОКБ САПР.

Для обеспечения доверенной загрузки систем хранения данных АЭРОДИСК Engine и Восток мы выполнили интеграцию продукта Аккорд-МКТ со своими СХД. Аккорд-МКТ — это программное средство доверенной загрузки, которое встраивается в базовую систему ввода-вывода (БСВВ) микрокомпьютеров и ЭВМ на базе процессоров с архитектурой x86-64 и e2k.

Для обеспечения безопасности нашей виртуализации АЭРОДИСК АИСТ и гиперконвергентной системы АЭРОДИСК vAIR мы интегрировали Аккорд-KVM и дополнительно для защиты операционной системы – продукт Аккорд Х К.

 В течение нескольких месяцев мы проводили испытания наших продуктов в связке с «Аккордами» и добились положительных результатов, после чего оформили сертификаты совместимости и углубили и расширили стали применять в совместных проектах.

Уже реализовано несколько проектов с применением наших решений в защищенном исполнении. Например, один из них – у крупного государственного заказчика. Внедрили в защищенный контур нашу гиперконвергентную систему АЭРОДИСК vAIR (ПАК АЭРОДИСК Machine-V) со средствами защиты информации от ЗАО «ОКБ САПР» (Аккорд Х К, Аккорд-МКТ и Аккорд-KVM).

3. Внешний консалтинг

Реализовав внутренние задачи по безопасной разработке и интегрировав внешние СЗИ в наши продукты, мы переключили фокус своего внимания на другие задачи, с которыми к нам часто обращались. В частности, на консультации для наших партнеров и заказчиков по вопросам правового обеспечения информационной безопасности.

Оказалось, что нельзя просто так взять и начать предоставлять консультации по информационной безопасности, для этого требуются соответствующие знаки отличия и похвальные грамоты  лицензии и сертификаты, которые мы в итоге и получили (см. спойлер).

В итоге, внедрив процессы безопасной разработки, создав защищенное исполнение наших продуктов и получив соответствующие лицензии, нам удалось собрать паззл и создать наш новый продукт, который получил название: Цифровое Пространство Безопасности (ЦПБ).

Цифровое Пространство Безопасности – это консалтинговое
направление компании АЭРОДИСК, которое комплексно решает задачи в сфере информационной безопасности.

Для каких задач и для каких организаций эти услуги актуальны?

• Финансовые организации, для которых актуально соответствие требованиям 683-П, 719-П, 747-П, 757-П;

• Операторы персональных данных, которым требуется анализ защищенности информационных систем и соответствие требованиям 152-ФЗ;

• Субъекты КИИ (критической информационной инфраструктуры), которым нужно оценить соответствие требованиям 187-ФЗ, провести категорирование объектов КИИ и внедрить процессы безопасной разработки в соответствии с требованиями приказа ФСТЭК России № 239;

• Компании государственного сектора с популярной задачей аттестации ГИС по требованиям безопасности информации;

• Промышленность и АСУ ТП, в потребности которых входит оценка защищенности информационных систем и построение комплексной системы информационной безопасности;

• Компании-ритейлеры, которым нужно защитить коммерческую тайну.

Как работает ЦПБ?

Для всего каталога услуг предусмотрен стандартный набор шагов:

1. Определяем нормативные требования регуляторов, актуальные для конкретного бизнеса;

2. Проводим аудит информационной безопасности;

3. Проектируем защищенный контур сети организации с учетом всех требований ИБ;

4. Помогаем с поставкой и внедрением необходимого оборудования;

5. Разрабатываем ОРД в области информационной безопасности;

6. Проводим аттестацию по требованиям безопасности информации.

Отдельным "длинным" шагом являются услуги поддержки, которые предоставляются по набирающей популярности модели MSSP (или «безопасность как сервис»). Суть поддержки заключается в переаттестации объектов в случае их изменения/модернизации и/или изменения требований регуляторов, что также включает в себя актуализацию всей нормативной документации по ИБ предприятия.

Как распространяется услуга?

Модель распространения услуг не отличается от других продуктов АЭРОДИСК. Как и другие продукты АЭРОДИСК, услуги распространяются только через авторизованных партнеров - системных интеграторов.  Системные интеграторы в такой модели также получают свой бонус. Мы помогаем им провести аттестацию объектов ИТ-инфраструктуры для заказчиков, консультируем специалистов интегратора по вопросам соответствия объектов заказчика требованиям ИБ. И при необходимости совместно с интеграторами помогаем спроектировать защищенный контур ИТ-инфраструктуры.

Полный перечень услуги с парт-номерами ниже:

Заключение

Надеемся, что этой статьей мы причинили вам добро и пользу. Мы не только хотели прорекламировать наш новый продукт (это само собой), но и показать, что даже в классической разработке какие-то побочные истории в вашем бизнесе при желании могут вполне успешно сформироваться в новый актуальный для рынка продукт. Главное условие тут – хотеть, то есть искать возможности, а не причины, почему не получится.

Информационная безопасность в России развивается. Только за последние несколько месяцев произошло множество изменений в законодательстве, под которые нужно адаптироваться. Мы рассказали лишь об ограниченном количестве случаев, где необходимо применение мер по защите информации. Да и самих этих мер намного больше. Это не только «аудиты» и «пентесты», но и защита контейнеров, конечных точек, мониторинг ИБ (SOC), комплексная защита АСУ ТП, фишинговые рассылки внутри организации, обучение сотрудников и т.д. Будем периодически возвращаться к этим вопросам в нашем блоге и рассматривать каждый из них более обстоятельно. Ну а всех читателей хотим пригласить на наш вебинар «ОколоИТ», где мы подробнее расскажем о нашем железе в защищенном исполнении, а также обсудим горячие вопросы актуальной ИБ-повестки. Вебинар состоится 27 октября 2022 года в 15:00. Зарегистрироваться на мероприятие можно по ссылке.

Также не забываем про наш Телеграм-канал "Импортозамещение здорового человека", где в ближайшее время также подключим трезвую ИБ-тематику.

Всем спасибо, ждем вопросов и предложений.