В России появится новый стандарт безопасности программного обеспечения. Проект нового ГОСТа опубликован на сайте ФСТЭК, его публичное обсуждение продлится до 15 февраля.
Соавторы и цели документа
Проект обновленного стандарта безопасности программного обеспечения разработан в РФ. В его подготовке принимали участие специалисты ФСТЭК, Института системного программирования им. В.П. Иванникова, компаний «Лаборатория Касперского», «ИнфоТеКС», «Позитив Текнолоджиз», «РусБИТехАстра», «СберТех», научно-технического центра «Фобос-НТ», Центра безопасности информации и научно-производственного объединения «Эшелон». Документ опубликован на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК), его публичное обсуждение продлится до 15 февраля.
Как указывается в документе, он направлен «на достижение целей, связанных с предотвращением появления, выявлением и устранением уязвимостей и недекларированных возможностей в программном обеспечении». В стандарте содержатся ключевые требования к разработчикам программного обеспечения, а также важнейшие этапы создания безопасного ПО.
Использовать его будут производители софта, разработчики и организации, контролирующие соответствие разработок национальному стандарту. Как говорится в пояснительной записке к проекту, принятие нового ГОСТа должно повысить эффективность и качество разработки безопасного программного обеспечения в России.
Предпосылки для обновления стандарта
Национальный стандарт Р 56939 «Защита информации. Разработка безопасного программного обеспечения» 2016 года действительно устарел, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи, депутат фракции «Единая Россия» Антон Немкин. По его мнению, «появление обновлённого стандарта безопасности программного обеспечения значительно повысит эффективность и качество российских разработок, выведет их на новый уровень и сделает еще более привлекательными для пользователей, которые пока еще с трудом отказываются от предложений зарубежных вендоров».
Единый стандарт обеспечения защиты отечественного софта особенно необходим с учетом того, насколько часто крупные зарубежные разработчики допускают наличие вредоносного ПО в разрабатываемых ими устройствах.
«В оборудование, которое производят небезызвестные зарубежные ИТ-гиганты зачастую внедряются так называемые вредоносные «закладки», которые помогают западным спецслужбам собирать данные о гражданах в своих интересах. Как ранее напоминали в МИДе, ни для кого уже не секрет, что в интересах ЦРУ и ФБР, в частности, используются шпионские программы Pegasus и Graphite. Они позволяют получить удаленный доступ к информации в смартфонах пользователей из разных стран несмотря на то, что это нарушает как внутреннее законодательство государств, так и нормы международного права. В России принимаются серьезные меры по недопущению сбора информации о наших гражданах против их воли, однако нам также нужно принимать все необходимые меры для того, чтобы отечественное ПО было максимально защищенным», – подчеркнул Антон Немкин.
