Власти потратят 1,6 миллиарда на безопасную разработку российских ОС и разнообразного ПО
1,6 млрд руб. получит ФСТЭК из федерального бюджета для реализации пяти проектов в области информационной безопасности в рамках нацпрограммы «Цифровая экономика». В их числе: разработка унифицированной среды безопасной разработки отечественного ПО; создание инфраструктуры для систематического исследования безопасности критичных компонентов, составляющих основу российских дистрибутивов ОС; разработка инфраструктуры для проведения тестирования обновлений безопасности ПО зарубежных разработчиков.
423 миллиона на создание унифицированной среды безопасной разработки ПО
В федеральный проект «Информационная инфраструктура» национальной программы «Цифровая экономика» добавлено три мероприятия, за реализацию которых отвечает Федеральная служба по техническому и экспортному контролю (ФСТЭК). Это следует из обновленной версии документа, имеющейся в распоряжении CNews.
В первую очередь, это разработка унифицированной среды безопасной разработки отечественного ПО. На реализацию данного проекта федеральный бюджет выделит до 2024 г. 423 млн руб.
Конкурс на реализацию данного проекта выиграл Институт системного программированию им. В.П.Иванникова Российской академии наук (ИСП РАН). Сумма контракта также составила 423 млн руб.
На первом этапе реализации проекта предполагается проведение анализа классов прикладного и системного отечественного ПО, используемого в государственных информационных системах и на объектах критической информационной инфраструктуры России, и языков программирования, на которых разработано указанное ПО.
Далее должны быть разработаны методология внедрения и организации цикла безопасной разработки ПО, номенклатуры и требования к базовому набору инструментов для обеспечения безопасной разработки ПО, унифицированный набор инструментов для безопасной разработки отечественного ПО, порядок распространения и использования унифицированной среды безопасной разработки отечественного ПО среди организаций-разработчиков отечественного ПО.
Также должны быть определены порядок реализация методической и технической поддержки российских организаций при внедрении и обеспечении цикла безопасной разработки с помощью разработанной унифицированной среды, проведена апробация методологии внедрения и обеспечения организации жизненного цикла разработок безопасного ПО и набора инструментов для безопасной разработки отечественного ПО.
Национальный стандарт в сфере доверенной разработки ПО
В России готовится национальный стандарт в области доверенной разработки ПО. Об этом на конференции OS Day заявил Константин Карасев, руководитель направления разработки доверенной среды и экосистемы «Аврора TRE» компании «Открытая мобильная платформа» (разработчик мобильной ОС «Аврора»). Под доверенной средой исполнения понимается изоляция вычислительных ресурсов и периферии для доверенных вычислений. Она создает дополнительный слой защиты в системе и уменьшает поверхности атаки.
В мире существуют спецификации доверенной среды исполнения (ДСИ) от консорциума Global Platform, но использование зарубежных решений в сложивший ситуации нецелесообразно, говорит Карасев. Была попытка создать профили защиты операционной системы и средств доверенной загрузки, но они оказались слишком широкими и выходящими за рамки ДСИ, при том что задача доверенной среды - минимизация кода. Идея создать требования по безопасности регулятор посчитал недостаточной, после чего и было принято решение о разработке национального ст стандарта.
ГОСТ «доверенная среда исполнения» будет содержать требования к ОС ДСИ, к приложениям, исполняющимся в ДСИ , к аппаратной платформе ДСИ, к механизмам взаимодействия между универсальной средой исполнения (УСИ) и ДСИ, а также общие требования по безопасности. В проекте нацстандарта определено: необходимый набор свойств ДСИ; цели применения ДСИ,; архитектурные «рамки» построения ДСИ; особенности функционирования ДСИ; варианты аппаратной и программной архитектуры ДСИ; требования к ДСИ.
В то же время проект нацстандарта, по словам Карасева. не ограничивает: отрасли применения ДСИ (ПК, сервер, мобильное устройство), выбор технологии для реализации ДСИ (ARM TrustZone, TPM, виртуализация), выбор архитектуры процессора, список поддерживаемой периферии ДСИ, список сервисов ДСИ. Ожидается, что нацстандарт будет утвержден и опубликован Росстандартом весной - летом 2025 г. Систематическое исследование безопасности критичных компонентов российских ОС
Другое мероприятие, включенное в федпроект «Информационная безопасность» - создание инфраструктуры для систематического исследования безопасности критичных компонентов, составляющих основу российских дистрибутивов операционных систем (ОС) и иных программных средств. Федеральный бюджет выделит на данное мероприятие 309 млн руб. Конкурс на реализацию проект выиграл ИСП РАН, сумма контракта также составила 309 млн руб.
На первом этапе планируется определить состав соответствующей инфраструктуры. Далее должны быть разработаны: функциональные и технические требования к инфраструктуре и ее компонентам, а также требования к организационным, методическим и научно-методическим основам функционирования инфраструктуры; перечень критичных компонентов - стека технологий и библиотек, влияющих на безопасность программного обеспечения и наиболее распространенных в среде отечественных разработчиков ПО; методология проведения архитектурного анализа, стратегического анализа, фаззинг-тестирования, системного и модульного тестирования и полносистемного динамического анализа критичных компонентов. В результате будет создана соответствующая инфраструктура и подготовлены сведения об уязвимости и исправления, устраняющие уязвимости в критичных компонентах из перечня критичных компонентов.
Тестирование обновлений безопасности ПО зарубежных разработчиков
Третий проект - разработка инфраструктуры для проведения тестирования обновлений безопасности ПО зарубежных разработчиков. Федеральный бюджет выделит на его реализацию 79 млн руб. Конкурс на реализацию проекта выиграл Государственный научно-исследовательский институт технической защиты информации (ГНИИТЗИ) при ФСТЭК, сумма соответствующего контракта составила 127 млн руб.
На первом этапе формирование базового набора ПО, в отношении которого требуется проводить тестирования обновлений. Должна быть разработана методология определения критичности уязвимость ПО, для устранения которых требуется установка и проведение работ по тестированию обновлений на предмет наличия в них незадекларированных возможностей, которые могут привести к нарушению функционирования информационных (автоматизированных) систем. Также должны быть разработаны требования к организации процесса тестирования обновлений ПО и обеспечено функционирование соответствующей инфраструктуры.
Исследование безопасности ОС на базе Linux и уязвимости автоматизированных систем управления технологическими процессами
Ранее в федпроект «Информационная инфраструктура» было включено еще два проекта, куратором которых выступает ФСТЭК. Один из них - это создание и обеспечение функционирования технологического центра исследования безопасности ОС, созданных на базе ядра Linux.
Федеральный бюджет выделит на его реализацию 379 млн руб. Конкурс на реализацию данного проекта выиграл ИСП РАН, сумма контракта составляет 309 млн руб.
Как рассказал директор ИСП РАН Арутюн Аветисян, выступая на Открытой конференции института, центр проанализировал 17 тыс. предупреждений от инструмента статистического анализа Svace, который также был создан институтом. Центром было подготовлено более 250 исправлений, которые легли в основную ветку ядра Linux. Также были подготовлены исправления, которые легли в основные ветки компонентов OpenSSL, Qemu, Libvirt, CPypthn, Lua и Net Runtime.
Другой проект - разработка отечественного ресурса с уязвимостями уровня автоматизированных систем управления технологическими процессами и промышленного интернета вещей критически важных, потенциально опасных и опасных производственных объектов в целях информирования об уязвимости владельцев объектов. Затраты федерального бюджета на данный проект составят 379 млн руб. Конкурс на реализацию проекта выиграл ГНИИТЗИ, сумма контракта составляет 299 млн руб.
Таким образом, всего в рамках федпроекта «Информационная инфраструктура» ФСТЭК курирует пять проектов на общую сумму 1,6 млрд руб.