423 миллиона на создание унифицированной среды безопасной разработки ПО
В федеральный проект «Информационная инфраструктура» национальной программы «Цифровая экономика» добавлено три мероприятия, за реализацию которых отвечает Федеральная служба по техническому и экспортному контролю (ФСТЭК). Это следует из обновленной версии документа, имеющейся в распоряжении CNews.
В первую очередь, это разработка унифицированной среды безопасной разработки отечественного ПО. На реализацию данного проекта федеральный бюджет выделит до 2024 г. 423 млн руб.
Конкурс на реализацию данного проекта выиграл Институт системного программированию им. В.П.Иванникова Российской академии наук (ИСП РАН). Сумма контракта также составила 423 млн руб.
В рамках нацпрограммы «Цифровая экономика» ФСТЭК получит из федерального бюджета 1,6 млрд руб. получит для реализации пяти проектов в области информационной безопасностиНациональный стандарт в сфере доверенной разработки ПО
В России готовится национальный стандарт в области доверенной разработки ПО. Об этом на конференции OS Day заявил , руководитель направления разработки доверенной среды и экосистемы «Аврора TRE» компании «Открытая мобильная платформа» (разработчик мобильной ОС «Аврора»). Под доверенной средой исполнения понимается изоляция вычислительных ресурсов и периферии для доверенных вычислений. Она создает дополнительный слой защиты в системе и уменьшает поверхности атаки.
В мире существуют спецификации доверенной среды исполнения (ДСИ) от консорциума Global Platform, но использование зарубежных решений в сложивший ситуации нецелесообразно, говорит Карасев. Была попытка создать профили защиты операционной системы и средств доверенной загрузки, но они оказались слишком широкими и выходящими за рамки ДСИ, при том что задача доверенной среды - минимизация кода. Идея создать требования по безопасности регулятор посчитал недостаточной, после чего и было принято решение о разработке национального ст стандарта.
ГОСТ «доверенная среда исполнения» будет содержать требования к ОС ДСИ, к приложениям, исполняющимся в ДСИ , к аппаратной платформе ДСИ, к механизмам взаимодействия между универсальной средой исполнения (УСИ) и ДСИ, а также общие требования по безопасности. В проекте нацстандарта определено: необходимый набор свойств ДСИ; цели применения ДСИ,; архитектурные «рамки» построения ДСИ; особенности функционирования ДСИ; варианты аппаратной и программной архитектуры ДСИ; требования к ДСИ.
В то же время проект нацстандарта, по словам Карасева. не ограничивает: отрасли применения ДСИ (ПК, сервер, мобильное устройство), выбор технологии для реализации ДСИ (ARM TrustZone, TPM, виртуализация), выбор архитектуры процессора, список поддерживаемой периферии ДСИ, список сервисов ДСИ. Ожидается, что нацстандарт будет утвержден и опубликован Росстандартом весной - летом 2025 г. Систематическое исследование безопасности критичных компонентов российских ОС
Другое мероприятие, включенное в федпроект «Информационная безопасность» - создание инфраструктуры для систематического исследования безопасности критичных компонентов, составляющих основу российских дистрибутивов операционных систем (ОС) и иных программных средств. Федеральный бюджет выделит на данное мероприятие 309 млн руб. Конкурс на реализацию проект выиграл ИСП РАН, сумма контракта также составила 309 млн руб.
На первом этапе планируется определить состав соответствующей инфраструктуры. Далее должны быть разработаны: функциональные и технические требования к инфраструктуре и ее компонентам, а также требования к организационным, методическим и научно-методическим основам функционирования инфраструктуры; перечень критичных компонентов - стека технологий и библиотек, влияющих на безопасность программного обеспечения и наиболее распространенных в среде отечественных разработчиков ПО; методология проведения архитектурного анализа, стратегического анализа, фаззинг-тестирования, системного и модульного тестирования и полносистемного динамического анализа критичных компонентов. В результате будет создана соответствующая инфраструктура и подготовлены сведения об уязвимости и исправления, устраняющие уязвимости в критичных компонентах из перечня критичных компонентов.
Тестирование обновлений безопасности ПО зарубежных разработчиков
Третий проект - разработка инфраструктуры для проведения тестирования обновлений безопасности ПО зарубежных разработчиков. Федеральный бюджет выделит на его реализацию 79 млн руб. Конкурс на реализацию проекта выиграл Государственный научно-исследовательский институт технической защиты информации (ГНИИТЗИ) при ФСТЭК, сумма соответствующего контракта составила 127 млн руб.
На первом этапе формирование базового набора ПО, в отношении которого требуется проводить тестирования обновлений. Должна быть разработана методология определения критичности уязвимость ПО, для устранения которых требуется установка и проведение работ по тестированию обновлений на предмет наличия в них незадекларированных возможностей, которые могут привести к нарушению функционирования информационных (автоматизированных) систем. Также должны быть разработаны требования к организации процесса тестирования обновлений ПО и обеспечено функционирование соответствующей инфраструктуры.
Исследование безопасности ОС на базе Linux и уязвимости автоматизированных систем управления технологическими процессами
Ранее в федпроект «Информационная инфраструктура» было включено еще два проекта, куратором которых выступает ФСТЭК. Один из них - это создание и обеспечение функционирования технологического центра исследования безопасности ОС, созданных на базе ядра Linux.
Федеральный бюджет выделит на его реализацию 379 млн руб. Конкурс на реализацию данного проекта выиграл ИСП РАН, сумма контракта составляет 309 млн руб.
Как рассказал директор ИСП РАН , выступая на Открытой конференции института, центр проанализировал 17 тыс. предупреждений от инструмента статистического анализа Svace, который также был создан институтом. Центром было подготовлено более 250 исправлений, которые легли в основную ветку ядра Linux. Также были подготовлены исправления, которые легли в основные ветки компонентов OpenSSL, Qemu, Libvirt, CPypthn, Lua и Net Runtime.
ИКТ-бюджеты российских регионов в 2024 г. могут отыграть прошлогоднее падениеДругой проект - разработка отечественного ресурса с уязвимостями уровня автоматизированных систем управления технологическими процессами и промышленного интернета вещей критически важных, потенциально опасных и опасных производственных объектов в целях информирования об уязвимости владельцев объектов.