Новый ГОСТ 56939 опирается на процессы, а не меры

ГОСТ 56939, как напомнила один из авторов новой версии документа, руководитель центра сертификации и соответствия стандартам "Лаборатории Касперского" Карина Нападовская, выступая на IX конференции OS: Day 2024, разработан в 2016 г. и основательно устарел. В новой версии, по ее словам, разработчики сделали акцент на процессы, а не на меры. Заведующий лабораторией ИСП РАН, член ТК 362 к.ф.-м.н. Вартан Падарян сравнил новшества, которые включили в новую версию стандарта, с тем, что санитарная инспекция начинает не просто следить, чтобы повара и рабочие кухни мыли руки, а чтобы они были по-настоящему чистыми. По его мнению, в совершенствовании стандарта были заинтересованы как ФСТЭК, так и разработчики, прежде всего тех систем, которые требуют сертификации: операционных систем и прочего системного ПО, средств защиты информации, системы, обслуживающие объекты критической информационной инфраструктуры (КИИ). Кроме того, Вартан Падарян обратил внимание, что стандарт позволяет регулятору не просто изучить пакет документов, но и увидеть, как работают процессы безопасной разработки в компании. Ведущий разработчик НТЦ ИТ РОСА Михаил Новоселов назвал главным достижением новой версии стандарта то, что акцент не на мерах, а на процессах позволит сертифицировать продукт, а не каждую версию, как это происходит сейчас, что позволит выпускать обновления сразу, не дожидаясь их сертификации. Также новая версия стандарта, как проинформировала Карина Нападовская, гармонизирована с требованиями российских и международных регуляторов и учитывает лучшие практики безопасной разработки. Важным новшеством, на которое она обратила внимание, стал регулярный внешний аудит. Как отметила Карина Нападовская, все требования стандарта "Лаборатория Касперского" проверила на себе: тестирование и аудит охватили четыре продукта, включая антивирусное ПО и KasperskyOS. Работа над новой версией ГОСТ 56939 ТК 362 началась в декабре 2022 г. В изначальный текст участники, как проинформировала Карина Нападовская, внесли 558 замечаний и предложений, из которых 310 было полностью или частично приняты. Окончательный текст документа получил 35 голосов за и двое участников голосования воздержались. Директор департамента сертификации и контроля безопасности разработки ПАО "Группа Астра" Елена Маньжова заявила, что ее компания готова следовать новой версии стандарта, но необходимо доработать ряд регламентов. По ее оценке, у отрасли нет выбора и надо готовиться. Уровень готовности других компаний Елена Маньжова назвала неравномерным: у тех, кому раньше приходилось сертифицировать ПО, он очень высокий, однако у большинства разработчиков прикладного ПО он низок, и им придется очень трудно. Качество проработки документа представитель ГК "Астра" оценила высоко: он написан понятным языком и содержит детальные инструкции. Эксперт по безопасности ООО "Открытая мобильная платформа" Сергей Юдин заявил, что разработчики операционных систем и средств защиты информации в наибольшей степени готовы следовать стандарту, однако до сих пор аккредитована лишь одна тестовая лаборатория, что может создать проблемы в первые месяцы действия нового документа. Начальник отдела разработки и сертификации защищенных решений ООО "Базальт СПО" Денис Медведев предупредил, что внедрить требования данного стандарта с наскока вряд ли получится. Также, по его мнению, очень сложной задачей является анализ стороннего кода. Заместитель генерального директора ООО "Постгрес Профессиональный", член правления АРПП "Отечественный софт" Иван Панченко высоко оценил качество документа, но обратил внимание на некоторую неоднозначность формулировок: правильнее говорить о "разработке безопасного ПО", а не о "безопасной разработке". Карина Нападовская возразила на данное замечание, что именно такая формулировка оставлена для того, чтобы избежать коллизий и противоречий с другими документами. Ссылка на источник