Связанные одной целью: софт для КИИ будет создаваться в унифицированной среде

Федеральная служба по техническому и экспортному контролю (ФСТЭК) объявила тендер на создание стандартов разработки программного обеспечения (ПО) стоимостью 0,5 млрд руб. Безопасные решения важны для рынка в целом и необходимы для субъектов критической информационной инфраструктуры (КИИ) на фоне эпизодически появляющихся сообщений о уязвимостях популярного софта. Эксперты сомневаются в том, что выделенной суммы и времени будет достаточно для полноценной реализации проекта.

Издание «Коммерсантъ» обнаружило на сайте госзакупок тендер Федеральной службы по техническому и экспортному контролю по созданию «унифицированной среды разработки безопасного отечественного программного обеспечения», с максимальной ценой контракта 510 млн руб. Срок подачи заявок – до 4 марта 2022 года, работы по контракту должны начаться уже в апреле 2022 года, срок исполнения – до 20 декабря 2024 года.

Исходя из тендерной документации, задание подразумевает создание «унифицированного набора инструментов для разработки безопасного ПО» с использованием языков С, С++ и Java. Исполнителю необходимо будет не только разработать набор универсальных решений, которые возможно будет безопасно компилировать между собой, но и методологию разработки и внедрения, а также инструменты тестирования ПО и инструменты выявления утечек информации.

Унификация в области разработки программных решений необходима для обеспечения информационной безопасности организаций, которые будут использовать в дальнейшем разработанную на данной базе софтверную продукцию. Особенно это актуально для субъектов критической информационной инфраструктуры (КИИ), к которым относятся в том числе банки, телекоммуникационные организации, учреждения здравоохранения, оборонные предприятия и другие.

На данный момент в России не существует унифицированных стандартов разработки: разработчики софта должны проходить экспертизу ФСТЭК по своей продукции, доказывая ее безопасность. Это позволяет снизить вероятность наличия в ПО так называемых «бэкдоров» – уязвимостей, допускающих несанкционированный доступ к корпоративным ресурсам и удаленное управление инфраструктурой. Разработка единой унифицированной среды должна  существенно уменьшить количество дефектов в исходном коде и повысить общий уровень надежности разрабатываемого софта.

Только за начало 2022 года стало известно о уязвимостях в надстройках к 1С и в операционной системе Linux.

Из-за того, что в процессе разработки используются различные среды, повышаются риски «закладок», воровства кода, а также риски ограничений или даже отключения доступа к среде в контексте санкций.

Несмотря на то, что эксперты признают необходимость разработки подобной среды, отмечая, что внимание государства к проблемам разработки положительно повлияет на экономику, тем не менее, высказываются опасения в том, что заложенных в проект средств будет достаточно разве что на пилотную версию, так как заявленные требования подразумевают в разы большие инвестиции. Также есть сомнения и в том, что проект возможно осуществить в столь сжатые сроки.

 

Автор: Елизавета Клейн.

Тематики: ПО, Регулирование, Безопасность

Ключевые слова: разработка программного обеспечения, регулирование, ФСТЭК, критическая инфраструктура