Коллеги, для всех веривших / не веривших в лучшее - официальная информация. ГОСТ Р 56939-2024 официально вступает в действие 20 декабря 2024 года. Публикуется с разрешения и с поддержой коллег из Лаборатории Касперского.

Коллеги, добрый день!

На вчерашнем сборе во ФСТЭК России состоялся доклад Директора центра исследования безопасности системного ПО Алексея Хорошилова по актуальным вопросам и результатам работы центра. С разрешения и поддержки @alexeykhoroshilov выкладываю презентацию здесь.

Результаты - как по числу участников, так и по конкретике проведенных работ и достигнутом - впечатляющие. Системность приобрела ярко выраженный характер. Поэтому, коллеги (в частности): @rusdacent @alsmirn @AmirKhaphisov @mshchedrin - а также иные владельцы/авторы популярных профильных медиа-ресурсов, предлагаю рассмотреть возможность публикации данной презентации со своими краткими аннотациями - в стилистике вашей аудитории. А заодно ещё раз напомнить о предстоящей встрече РБПО-сообщества на Открытой конференции и важности поддержки мероприятия со стороны участников сообщества!

P. S. Традиционно, дискуссию по SBoM продолжаем не здесь, а в @sdl_flood

Коллеги, добрый день!

На сайте конференции появился предварительный анонс блоков нашей секции РБПО.

Наполнение блоков - что спикерами, что подтемами - будет чертовски интересным, без сюрпризов не обойдётся 😏😇 Но пока что без дальнейших подробностей - идут финальные согласования.

Коллеги, доброго дня!

Мы выражаем большую благодарность всем тем компаниям и организациям, являющимся участникам сообщества, и принявшим решение поддержать конференцию, в том числе участием в выставке технологий! И признательны тем из вас, кто с нами душой, не смог принять участие в выставке в этом году по бюрократическим и процессным причинам - в 2025 мы отработаем заранее!

Публикуем финальный анонс событий секции «РБПО: качество, доверие, сообщество» 11 декабря на Открытой конференции ИСП РАН.

13:15-13:55. Итоги и анонсы 2024 – взгляд регулятора

Выступление представителя ФСТЭК России. В этот раз оно будет особенно интересным, но интригу стоит сохранить 😏

13:55-14:40. Три года Центру исследований безопасности системного ПО

Обзорный доклад Алексея Хорошилова и - впервые - церемония награждения лучших участников работы Центра исследований безопасности системного ПО ФСТЭК России и ИСП РАН.

14:45-15:05. Блиц-сессия «Стратегия Win-Win»

Выступление представителей АРПП, Айдеко, Код Скоринг, Системные решения о возможности и эффективности использования R&D компетенций ИСП РАН для развития собственных продуктов и бизнеса.

15:10-16:30. Круглый стол «Сообщества РБПО. Взгляд ФинТех»

Большой круглый стол, посвященный сходству и различию взглядов на нормативку и практическую реализацию процессов безопасной и качественной разработки, а также обсуждения возможности взаимодействия сообществ. Участие подтвердили представители ФСТЭК России, Банк России, MOEX Group, Промсвязьбанк, Газпромбанк и НОТА Тех.

16:40-18:05. Круглый стол «Безопасность, качество, электроэнергетика. Взгляд отрасли»

Большой круглый стол, посвященный вопросам и проблемам массового внедрения практик безопасной и качественной разработки в отрасли. Участие подтвердили представители Россети, НТЦ МЭИ, Прософт, PLC, Транснефть, Системный оператор. Ожидаются жаркие дискуссии о судьбах отрасли 😈


18:15-19:00. Круглый стол «Сертификация РБПО. Первые итоги»

Под занавес - в т. ч. для того чтобы не растерять аудиторию - небольшой, но насыщенный и напряженный мини-круглый стол об итогах первых сертификаций РБПО. Основный тезисы от Органа о наиболее типовых проблемах всех видов. Краткие обзорные выступления прошедших данную процедуру. Ответы на вопросы из зала!

19:45 и до упора - добровольная встреча сообщества РБПО на отдельной площадке. Ждем ваших голосов и мини-презентаций об интересном :)

До встречи на полях конференции! Внимательно ознакомьтесь с программой - эти два дня настолько насыщены событиями различного характера (в т. ч. обратите внимание на проводящуюся впервые встречу по вопросам образования!), что мы начинаем задумываться о полноценном третьем дне в 2025м году 🔥

Уважаемые участники сообщества РБПО, и все примкнувшие!

Приглашаем вас 12го декабря на вот такой круглый стол - проводится впервые, актуальность темы высочайшая - с учётом кадрового голода.

❗️Новое на Открытой конференции ИСП РАН!

В этом году мы впервые проводим круглый стол «Системное программирование в высшем образовании: состояние и перспективы» (12 декабря, 10.00-13.00). Главные темы:

˗➡️В чём сильные и слабые стороны преподавания системного программирования по сравнению с другими дисциплинами в сфере ИТ? Актуальны ли современные образовательные стандарты?

➡️ Как правильно внедрить специальность «Кибербезопасность» в бакалавриате/магистратуре и специалитете — и нужно ли это делать? В чём особенности преподавания кибербезопасности по сравнению с классическим системным программированием?

➡️Что интересно студентам, с какими запросами они приходят в вуз и какие самые главные проблемы возникают при обучении их системному программированию?

Эти и другие вопросы обсудят представители МФТИ, МГУ им. Ломоносова, МГТУ им. Баумана, НовГУ, СГУ и других ведущих вузов, а также компаний, заинтересованных в подготовке квалифицированных специалистов!

Ждем вас на конференции в кластере «Ломоносов» по адресу Москва, Раменский бульвар, д. 1!

‼️Регистрация до 23.59 6 декабря: https://www.isprasopen.ru/#Registration

Коллеги, привет!

На сайте ТБФорум 2025 опубликован анонс уже 3й встречи сообщества РБПО 13 февраля 2025 года. Традиционно мы не меняем формат - доклады "от инженеров и руководителей, для инженеров и руководителей - минимум прямой маркетологии". Наш девиз - делать качественно и интересно, чтобы вам самим хотелось переслушать свой рассказ. Традиционно же вносим небольшие но важные улучшения: полноценный отдельный зал для мастер-трека, увеличенное время утреннего "кофе с руководителем" и вечернего виски-клуба.

Как всегда, у нас аншлаг по участникам. Приглашения рассылаются индивидуально, в адрес тех компаний, или тех конкретных людей, которые делом, а не перераздутыми рекламными бюджетами и агрессивными PR-кампаниями, доказывают веру в идеи безопасной и качественной разработки и являются участниками сообщества РБПО Центра компетенций ФСТЭК России и ИСП РАН. При этом мы соблюли традицию добавив несколько "новых" компаний в оба трека. А заодно придумали забавную маркировку для стендов, отражающую отношение участников к сообществу РБПО и безопасной и качественной разработке в целом 🤗

Своё участие в основном треке подтвердили: Code Scoring, КСБ Софт, Базис, Базальт СПО, Амикон, Айдеко, Группа Астра, Postgres Professional, Гарда Технологии, АКСИОМ, Конфидент, NGRSoftlab, YADRO. Доклады посвящены "радостям и горестям" внедрения в компаниях процессов безопасной и качественной разработки.

В мастер-треке представят свои наработки коллеги из ИСП РАН, Лукоморье (РТК ИТ Плюс), Luntry, Фобос-НТ: примеры работы с инструментами РБПО, средства и методики безопасной и качественной разработки, полный трек работы современной лаборатории.

Традиционно, завершающим мероприятием в треке докладов будет являться большой круглый стол "Эксперты и экспертиза". Лейтмотивом круглого стола будет обсуждение первых итогов аттестации экспертов, запущенной ФСТЭК России в декабре 2024го года, а также обсуждение вопросов подготовки соответствующих кадров и объединения усилий на данном направлении. К участию приглашены аттестованные эксперты из ИЛ НТЦ Фобос-НТ, ЦБИ, представители научных и образовательных организаций ИСП РАН, МГТУ им. Баумана, НИУ МЭИ, а также представитель ФСТЭК России.

P. S. Участие в в-клубе также по традиционным правилам, с поправкой на "40 лет" и увеличенное на час время.

Ждём вас в Новом году на Дне сообщества РБПО!

Коллеги, добрый день! Многие спрашивали - инф. письма ФСТЭК России по серверам приложений и интерпретаторам, а также по СЗИ в контейнерном исполнении, размещены на сайте ФСТЭК России.

Коллеги, добрый вечер!

Только что опубликовано расписание основного дня ТБФорум - 12 февраля, Актуальные вопросы защиты информации!

Приглашаем всех ознакомиться - программа как всегда сверх-насыщенная и очень интересная! Помимо новостей по нормативно-правовой документации и общим планам Регулятора по развитию и совершенствованию систем аттестации, сертификации и подходов к качественной и безопасной разработке, вы сможете услышать несколько интереснейших докладов на стыке инженерии и методик исследования, в частности по вопросам тестирования API, исследованиям безопасности компиляторов в составе СЗИ, защите от аппаратных угроз в ММЭУС.

Отдельное внимание разумеется будет уделено актуальной практике взаимодействия со ФСТЭК России по тематике Перечней Программных Компонентов - Алексей Хорошилов озвучит самые свежие новости и идеи!

Не пройдем и мимо набирающего обороты процесса испытаний статических анализаторов под патронажем ФСТЭК России!

Приходите сами и приводите друзей-коллег, в том числе из смежных ИТ-отраслей - уверены, многие вопросы и лучшие практики будут интересны и ванильным АйТишникам! 🙂

P.S. Хотите ещё больше РБПО, актуальных практик и живого, неформального общения с ведущими отечественными инженерами и руководителями команд и компаний? Приглашаем вас и на следующий день - 13 февраля - день РБПО-сообщества ФСТЭК России и ИСП РАН! Как всегда - все спикеры "строго по приглашению" и отобраны с дружеским пристрастием!

Изюминка этого года - полноценный мастер-трек в полноценном зале.

Вишенка - круглый стол "Эксперты и экспертизы", посвященный вопросам аттестации экспертов и подготовке кадров. К участию приглашены первоисточники и первосдавшие!

Коллеги, доброго дня.

В сообщество вливаются новые участники, список чатов/каналов сообщества стал достаточно обширным и не все знают про существующие ресурсы. Представляется полезным раз в полгода публиковать список ресурсов сообщества с их краткой аннотацией.

Ресурсы под эгидой Центра компетенций ФСТЭК России и ИСП РАН:

@sdl_inform - канал, не ставьте его в Mute, сообщения там появляются в среднем одно в неделю. Основные, наиболее значимые для сообщества оповещения о встречах и иных мероприятиях.

@sdl_static - чат, посвященный вопросам компиляторики и статического анализа (в первую очередь безопасный компилятор/Svace/Svacer, но не только).

@sdl_dynamic - чат, посвященный вопросам динамического анализа (в первую очередь Crusher/Sydr/Casr/Блесна/Natch, но не только).

@sdl_community - чат, посвященный вопросам объединения сил и средства сообщества в вопросах анализ ядра Линукс и критичных компонентов, доверенной загрузки и т. п., а также мероприятиям и некоторым (согласованным) новостям от регулятора.

[NEW] @sdl_arch - чат, посвященный вопросам качественной и безопасной разработки, не укладывающимся в темы указанных выше чатов. В частности здесь обсуждаются вопросы композиционного анализа и ППК, вопросы контейнеров и кубернетес, общий вопросы моделирования и архитектуры

[NEW - ранее flood] @sdl_holywar - чат, холивары на тему безопасной и качественно разработки. Сюда переносятся холивары по любым темам из остальных чатов, чтобы не засорять эфир и поддерживать низкий SNR (Signal-Noise Ratio).

Дружественные тематические ресурсы:

@sydr_fuzz - чат, поддержка пользователей фаззера Sydr.

@ispras_natch - чат, поддержка пользователей системы определения поверхности атаки Natch.

@sdl_for_upstream_ru и @sdl_for_upstream - чат и канал, оповещения о принятых апстримом багах и уязвимостях, найденных участниками сообщества.

@ispras_friends - чат неформального общения друзей и единомышленников РБПО-сообщества ФСТЭК России и ИСП РАН.

@SDL_Community_SPb - чат, локальный чат Питерской ветки нашего сообщества, созданный в мае с целью координировать локальные встречи в СПб (ближайшая будет 12го августа, 27го июля объявим подробности).

Некоторые правила ресурсов "под эгидой":

1. Не стесняйтесь задавать вопросы - чаты изначально созданы именно как просветительский ресурс под эгидой регулятора, в этом их основная миссия. И, традиционно, нам нужны мотивированные и грамотные контрибьюторы :)

2. Чаты не предназначены для обсуждения особенностях трактовки регуляторных документов (Положения, Требования, Методики и т. п.) и их правоприменительной практики, за исключением особых случаев, как правило непосредственно инспирированных регулятором, например: https://t.me/sdl_community/2218.

3. Чаты не предназначены для форвардинга сообщений маркетологической направленности, особенно в отношении различных "поделок". Описание вашего личного, подтверждаемого и воспроизводимого в потенциальных публичных соревнованиях опыта использования тех или иных инструментов/методик, приветствуется.

[NEW] 3.1. Некоторое исключение делается для значимых и кросс-верифицированных участников нашего сообщества (вы и так знаете о ком речь, если в сообщества давно. Модератор знает их точно, и авторитаризм никто не отменял) в случае ответов на вопросы в чате. Но в любом случае злоупотребление данной возможностью будет пресекаться вне зависимости от любой дружбы.

4. Избегайте флуда, в том числе личных эмоциональных позиций, флейма, глубокомысленных комментариев по вопросам, в которых вы слабо разбираетесь и т. п. Все люди взрослые, банхаммер не дремлет :) Исключение - чат друзей @ispras_friends.

Прогрев двигателей 😎

3, 2, 1 ...

Методическая рекомендация № 2025-04-001

Область: Определение поверхности атаки (ПА)

Тип недостатка: Некорректное определение ПА на системные компоненты. Фаззинг кода, не составляющего ПА в типовых сценариях эксплуатации СЗИ.

Описание: Фаззинг-тестирование стандартных консольных утилит как правило не является приоритетным с точки зрения анализа поверхности СЗИ. На рис. 1 представлен список компонентов, определенных в качестве ПА на СЗИ типа А - "Операционная система общего пользования". На рис. 2-3 представлена консоль фаззера afl++, с помощью которого в ходе испытаний выполнялось фаззинг-тестирование в отношении утилит base64 и cat.

Утилиты base64 и cat из состава пакета coreutils как правило запускаются пользователем или администратором системы, который уже имеет доступ к терминалу, либо используются в служебных скриптах. Данные утилиты не обладают какими либо повышенными привилегиями (права rwx, suid-бит, capabilities и т. п.) в данном СЗИ после выполнения инструкции по безопасной установке и настройке. В случае обнаружения программной ошибки в данных утилитах, вероятность использования данной ошибки в качестве уязвимости как правило мала, поскольку утилиты не обладают повышенными привилегиями, не реализуют механизмы управления доступом или иные функции безопасности. Потенциальный нарушитель в первую очередь будет стремиться воздействовать на компоненты ОС, обладающие повышенными привилегиями, либо взаимодействующие с недоверенными источниками - в первую очередь сетевые службы в составе ОС.

Рекомендации:

- относить к поверности атаки в приоритетном порядке компоненты СЗИ, доступные сетевому нарушителю, обладающие повышенными привилегиями, непосредственно реализующие функции безопасности и иную значимую бизнес-логику приложений

- при отнесении к поверхности атаки компонентов, очевидно не обладающих указанными выше свойствами, приводить описание реалистичных и вероятных сценариев использования СЗИ, обосновывающих очевидное присутствие данных компонентов на поверхности атаки

Дополнительные информационные материалы:

- определение ПА в ГОСТ 56939-2024
- слайды 4, 6, 9 по ссылке
- слайды 16, 18