Привет, Хабр! На связи Сергей Кубан, руководитель направления отдела защиты инфраструктуры производства ПО в СберТехе. Наша команда отвечает за то, чтобы поставляемое клиентам ПО и сервисы соответствовали требованиям кибербезопасности.

В предыдущей статье мы говорили о том, как моделировать угрозы информационной безопасности и как это помогает противодействовать угрозам атак на цепочки поставок ПО. Сегодня расскажу, как выбирать меры, которые помогут эти угрозы нейтрализовать.

Разрабатываем меры по нейтрализации угроз безопасности

Работать с результатами моделирования угроз и формировать перечень мер защиты — непростая задача. Только в Банке данных угроз ФСТЭК насчитывается более 200 угроз, добавим сюда угрозы зарубежных фреймворков и огромное количество техник и тактик.

При выборе мер нейтрализации угроз и проектировании системы защиты производственного конвейера ПО сложно предусмотреть все сразу — как с экономической, так и с точки зрения использования ресурсов компании. Выбирая приоритетные угрозы, важно учитывать открытые публикации об атаках на цепочки поставок. Об этом мы упоминали в  первой части материала. В ней мы обсудили, что не существует единого методического всеобъемлющего документа для выбора мер по нейтрализации угроз безопасности. Для этого необходимо использовать совокупность российских и зарубежных методик.

В первую очередь стоит обратить внимание на ГОСТ Р 56939-2016. Если в АС обрабатываются персональные данные, нужно выполнить требования законодательства РФ в сфере обработки персональных данных, включая приказ ФСТЭК России от 18 февраля 2013 г. № 21.

Если производственный конвейер ПО относится к объектам критической информационной инфраструктуры РФ или государственным информационным системам, необходимо использовать соответствующие нормативные акты и методические документы в этой сфере.

Пример выбора мер нейтрализации приведен на изображении ниже.

Первые пять столбцов заполняем из полученных результатов актуальных угроз в разработанной ранее Модели угроз безопасности нашей АС. Для следующих трех столбцов выбираем меры из указанных на рисунке российских и зарубежных методических документов и фреймворков, рекомендованных для нейтрализации угроз безопасности.

В столбец «Меры нейтрализации угрозы, нормативные требования» вносятся высокоуровневые меры, например, из ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» и/или из приказа ФСТЭК №21(в случае обработки персональных данных).

В столбец «Пояснения к мерам нейтрализации угроз» можно внести более детальную расшифровку этих высокоуровневых мер применительно к вашей инфраструктуре и средствам защиты информации.

В столбце «Дополнительные меры» можно указать, например, меры из методик CIS и других зарубежных фреймворков.

Последний столбец «Рекомендуемые сервисы кибербезопасности и средства защиты» можно наполнить имеющимися или планируемыми программными, программно-аппаратными средствами защиты или сторонними сервисами кибербезопасности. Они будут реализовывать функции и меры безопасности из предыдущих трех столбцов.

Сервисы кибербезопасности СберТеха для SaaS-систем

Расскажу, как мы обеспечиваем кибербезопасность SaaS-систем, предназначенных для разработки ПО, которые поставляем нашим заказчикам. Сейчас таких систем две:

• GitVerse — общероссийский портал для хостинга ИТ‑проектов и их совместной разработки;

• Works SaaS — система автоматизации процесса производства программного обеспечения для внешних заказчиков. Предоставляется доступ к продукту Platform V Works по SaaS‑модели.

На всех уровнях SaaS в той или иной степени могут быть использованы функции защиты наших программных решений Platform V, сервисы кибербезопасности наших партнеров, защищенная облачная инфраструктура со всеми необходимыми сертификатами соответствия требованиям информационной безопасности и документы по аттестации соответствия для различных информационных систем: ИСПДн, ГИС, объектов критической информационной инфраструктуры.

На изображении ниже я привел сервисы, которые помогают нам обеспечивать кибербезопасность SaaS-систем.

Заключение

Кибербезопасность цепочек поставок — достаточно новая и сложная тема для российских специалистов. Её нормативно‑правовая и методическая база, средства защиты и компетенции экспертов пока еще только формируются.

Традиционные подходы и меры противодействия угрозам не всегда будут эффективны против новых вызовов атакующих. Поэтому важно максимально объединить российские и международные практики защиты цепочки поставок ПО и воплотить методологические подходы в программных средствах защиты и сервисах кибербезопасности.