监管机构将扩大关键信息基础设施保护要求对象清单
在不久的将来,监管机构将大幅扩大关键信息基础设施保护立法要求范围内的对象清单。正如俄罗斯联邦工业和贸易部副部长瓦西里·什帕克(Vasily Shpak)所言,很快,在关键信息基础设施保护立法的范围之外“将所剩无几”。
项目总监、T1 控股公司 Sphere.Management 流的领导者 Yuri Druchinin 警告不要使用乍一看很简单的方法:“经济的选择包括使用相当原始的工具来扫描从开源收集的代码和发行版中的漏洞它们是向市场提供的相对简单的解决方案,许多参与者都有机会实施它们,但是,这种方法无法了解漏洞的识别和控制程度。该团队正在处理已确定的意见。”
“换句话来说,与成熟的管道不同,通过这种方式,不可能在公司中创建安全的开发文化。这意味着除了自动扫描发行版和代码之外,还需要信息安全工程师的主动工作。 ”,Yuri Druchinin 解释说,“通过各种方法识别的所有漏洞都会根据受监管的流程进行监控和处理,为此,我们编写了一种方法,创建了不同类型漏洞的状态模型 - 应用程序安全性。在这个范例中,软件产品。将无法被释放。在没有实际通过控制点和严格监管的自动化发布流程的情况下进行工业操作是一条昂贵且复杂的道路:它需要重新配置许多流程并购买昂贵的工具。”
然而,Yuri Druchinin 表示,安全的开发渠道对于几乎所有公司来说都是必要的,对于那些打算在未来成功通过 FSTEC 认证的公司来说尤其重要。
Postgres Professional副总经理、ARPP Domestic Soft俄罗斯软件集成委员会负责人Ivan Panchenko认为,这样一个传送带的主要任务是帮助开发者降低成本,以符合 萨尔瓦多手机号码数据库 安全开发标准:“说到俄罗斯传送带,我们谈论的是程序代码的验证,帮助开发人员发现其中的错误,这些工具价格昂贵且难以掌握,因此集体使用的做法可以显着降低进入门槛,因此,安全开发确实有效——我可以从 Postgres Professional 的经验中证实这一点,得益于对自动化工具结果的彻底分析,我们可以在程序代码投入运行之前就检测并消除错误。开发方法应主要应用于利用可能的漏洞进行攻击的风险最大的地方,需要通过研究和建模威胁来识别这些地方。不遵守这一规则将导致稀缺的开发商劳动力资源分散。”
降低开发者使用这些工具的门槛,同时显着提高产品的质量:“如果你在IT领域拥有高资历,你可以很快掌握工具和技术(六到九个月)。将它们应用于特定产品所需的资源取决于其复杂性、认证级别的要求以及实施的对象。门槛,有更新和维护产品质量的要求,从而确保开发过程的质量。首选方案是不断开发和改进工具,这将保护公司免受与产品代码错误相关的可能成本。”
“最有可能的是,在第一阶段,门槛不会那么高,因为参与者将被要求能够测试和调试新流程,然后门槛就会增加,参与者将必须满足新的要求,对于许多公司来说这是这样。可能会成为一个严重的障碍,因为相当多的企业仅在纸面上实施安全标准。”Daria Zubritskaya 警告说。
“然而,这样的工具对于统一安全开发流程和减少安全事件的数量很有用。然而,集中化工具可能会导致管理复杂性并减慢流程,这可能会影响开发速度,并且对于此类工具至关重要。实施标准安全和安全开发实践对于所有类型的开发都有意义,但了解实施的深度和严格的规则也很重要:例如,对于存在大量个人数据的敏感领域,银行业数据和等等,重要的是应用安全领域最先进的方法,并最大限度地关注这个问题,其他公司要求使用标准实践和方法,从而减少企业基础设施和资源的负载。”达莉亚·祖布里茨卡娅
Roman Smirnov 认为,对于客户从事银行、国防工业或能源等行业的开发商来说,连接到这样的管道显然是必要的:“首先,该解决方案与国防部门、金融部门、能源行业和因此,根据我们的预期,进入门槛不会太高,并且适应之前为向 Gostekh 计划过渡所做的努力也不会太高。拿。也许需要几周的时间进行培训,但是这种输送机提供的机会越多,不同行业中越典型的问题就会得到解决,那么俄罗斯企业将有更多的机会投资于定制产品和服务的质量。发展。”