ИБ-десятина

Что изменится с вводом нового стандарта безопасной разработки ПО

Росстандарт утвердил новый национальный стандарт безопасной разработки ПО, который потребует от разработчиков решений в сфере информационной безопасности (ИБ) дополнительных инвестиций. Эксперты ожидают увеличения стоимости программных продуктов на 10-15%. О том, как новый ГОСТ повлияет на ИБ-разработчиков и их потребителей, – в материале RSpectr.

ФОКУС НА АУДИТ

ФСТЭК России разместила приказ Росстандарта от 24 октября 2024 года № 1504-ст «Об утверждении национального стандарта», которым утверждается стандарт ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Первоначальная версия стандарта ГОСТ Р 56939 была принята еще в 2016 году, поделился с RSpectr консультант по ИБ AKTIV.CОNSULTING (компания «Актив») Владислав Крылов. По его словам, за это время развился стек ИT-технологий, увеличилось количество аспектов безопасности, на которые необходимо обращать внимание при разработке, и, соответственно, выросло количество различных практик.

По мнению эксперта,

меры защиты в новой редакции стандарта шире покрывают этапы жизненного цикла ПО, а также особенности его разработки

Владислав Крылов, AKTIV.CОNSULTING:

– Важным нововведением является фокус на проведении внешнего независимого аудита. Уровень готовности компаний неравномерный: для организаций, ранее осуществлявших сертификацию ПО в системе ФСТЭК и ФСБ, критически ничего не изменится, но большинству коммерческих разработчиков придется перестраивать свои процессы.

Существенным в новом ГОСТ является появление требования по безопасности цепочки поставок, продолжил руководитель отдела безопасной разработки ГК «Гарда» Кирилл Стуженов. По его мнению, оно идет в канве усиления требований регулятора к использованию open source в отечественных ИБ-решениях: любой заимствованный код рассматривается как собственный код разработчика.

Кирилл Стуженов, ГК «Гарда»:

– Данный ГОСТ является ожидаемой эволюцией и пока носит рекомендательный характер. При этом наблюдается устойчивая тенденция к внедрению его в крупных компаниях. Также мы видим появление требований к вендорам по поддержке данного ГОСТ со стороны предприятий-субъектов КИИ.

Как отметил в беседе с RSpectr заместитель гендиректора по инновационной деятельности «СёрчИнформ» Алексей Парфентьев,

в новом стандарте переработаны требования к безопасности удостоверяющей информации

Важное новое требование – это описание разработчиком поверхности атаки на ПО с целью определения модулей и их интерфейсов, подлежащих дополнительному, особо пристальному анализу с точки зрения безопасности, уточнил эксперт.

Многие разработчики средств защиты информации ждали этого документа, поскольку для них актуальна проблема задержек при получении сертификата на обновления своего софта.

Алексей Парфентьев, «СёрчИнформ»:

– Есть процедура, позволяющая самостоятельно оценивать угрозы и проводить такие проверки без привлечения сторонней лаборатории, но в таком случае ПО должно создаваться заведомо безопасными методами и весь цикл его разработки должен проверяться стандартизованными процедурами.

РОСТ ЦЕН

По мнению начальника отдела центра информационной безопасности «Диджитал Дизайн» Ивана Мыськива,

новый ГОСТ потребует от разработчиков дополнительных вложений в ИТ-инфраструктуру, ИБ-инструменты и сотрудников

Для соблюдения нового стандарта компаниям понадобится усовершенствовать или внедрить новые средства:

– анализа и управления уязвимостями;

– статического и динамического анализа кода;

– управления конфигурацией;

– автоматизации тестирования;

– моделирования угроз и мониторинга безопасности.

Иван Мыськив, «Диджитал Дизайн»:

– С учетом увеличения расходов на соответствие новым требованиям стоимость программных продуктов может вырасти. Особенно если у компании либо не имелось ранее процесса безопасной разработки ПО, либо его внедрение было только на начальной стадии.

Коммерческие организации всегда закладывают в стоимость продукта все расходы на его создание, в том числе и на внедрение процессов безопасной разработки, напомнил RSpectr директор по информационной безопасности «Т1 Облако» Алексей Кубарев. Однако, по его мнению,

процессы безопасной разработки не так велики в общем объеме затрат

поэтому соответствующая дельта в цене, скорее всего, будет почти незаметной для потребителя.

Алексей Кубарев, «Т1 Облако»:

– Клиент получит значительно более зрелый с точки зрения кибербезопасности продукт и, как следствие, снижение собственных рисков. Внедрение безопасной разработки к тому же обычно влечет за собой улучшение производительности продукта, его юзабилити и повышение устойчивости к программным сбоям.

По оценке генерального директора SETERE Group Олега Ивченкова,

в краткосрочной перспективе изменение цены на ПО может составить от 5 до 15%

При этом в долгосрочной перспективе использование качественного и безопасного ПО может привести к снижению затрат на его сопровождение и поддержку.

С ним соглашается руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров: за счет соблюдения новых требований к безопасности разработки стоимость конечного ПО может вырасти на 10-15%.

Кирилл Стуженов, ГК «Гарда»:

– Полноценная поддержка процесса безопасной разработки потребует увеличения затрат в размере 7-12% от текущего уровня для зрелых компаний. Для ИБ-стартапов затраты могут вырасти более существенно – до 50% от вложений в разработку.

Руководитель направления информационной безопасности eXpress Максим Рубан подчеркнул в беседе с RSpectr, что такие

вложения в безопасность являются долгосрочной инвестицией

Эти вложения могут принести значительные выгоды как разработчикам, так и пользователям, но в горизонте трех-пяти лет, полагает он.

Екатерина Лаштун

Изображение: RSpectr, Adobe Stock