Написать

О проекте

Специфика современных технологий такова, что меры безопасности устаревают с оглушительной скоростью. Глубокое понимание сложившейся специфики привело к старту многолетнего сотрудничества ФСТЭК России и ИСП РАН. Заложив основу для центра компетенций, нацеленного на формирование и развитие передовых подходов к обеспечению безопасности отечественного программного обеспечения, средств защиты информации и информационных систем, где они применяются, а также оперативное реагирование на возникающие вызовы.

Первым большим шагом сотрудничества стала организация Центра безопасности ядра Linux. На его основе был сформирован Консорциум, который существует и активно развивается и по сей день. Проект получил свое развитие и сейчас носит название «Центр исследований системного программного обеспечения». В рамках Центра ежегодно проводятся тысячи исследований, направленные на выявление уязвимостей в пакетах свободно распространяемого ПО и ядра Linux. Результаты направляются разработчикам как из России, так и из других стран, позволяя делать безопасными не только отечественные программные решения и информационные системы, где они применяются, но и ПО во всем мире. Полученные в ходе исследований данные также попадают на ресурс, посвященный актуальным угрозам и уязвимостям, а также мерам по противодействию им, – «Банк данных угроз ФСТЭК России».

Вторым важным шагом стал старт проекта «Унифицированная среда разработки безопасного отечественного ПО». В этом проекте реализованы подходы по применению ключевых практик разработки безопасного программного обеспечения, использованию инструментов исследования безопасности ПО. Проект продолжает свое развитие – проводится апробация методологической базы. Проект направлен на поддержку повсеместного внедрения практик безопасной разработки.

Наряду с данными проектами, постоянно действует ПК №2 «Разработка безопасного ПО» на базе ТК 362 «Защита информации». В рамках данного технического комитета были разработаны и утверждены:

  • «ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
  • «ГОСТ Р 71207-2024. Национальный стандарт Российской Федерации. Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования» и пр.

Активно развивается сообщество РБПО, в рамках которого проходят практические занятия и выступления экспертов-практиков. Информацию об актуальных событиях и профессиональной деятельности сообщества возможно получить, из следующих источников:

  • @sdl_inform - канал, информирующий об основных, наиболее значимых для сообщества оповещениях о встречах и иных мероприятиях. Рекомендуется не выключать уведомления для этого канала, т.к. сообщения появляются в среднем один раз в неделю;
  • @sdl_static - чат, посвященный вопросам статического анализа и компиляции (в первую очередь безопасному компилятору Svace и Svacer, но не только);
  • @sdl_dynamic - чат, посвященный вопросам динамического анализа (в первую очередь Crusher, Sydr, Casr, Блесна, Natch, но не только);
  • @sdl_community - чат, посвященный вопросам объединения сил и средств сообщества для анализа ядра Linux и критичных компонентов, доверенной загрузки и т. п., а также мероприятиям и некоторым согласованным новостям от регулятора;
  • @sdl_arch - чат, посвященный вопросам качественной и безопасной разработки, не укладывающимся в темы указанных выше чатов. В частности, здесь обсуждаются вопросы композиционного анализа и ППК, вопросы контейнеров и Kubernetes, общие вопросы моделирования и архитектуры.

И все описанные инициативы нашли свое отражение в проекте РБПО.РФ.

На нашем ресурсе будут планомерно публиковаться и обновляться следующие материалы:

  • актуальные НПА и стандарты в области РБПО;
  • методические материалы и проекты документов по РБПО для внутреннего применения (в закрытом разделе, доступном только для участников сообщества);
  • рекомендации по применению на практике инструментов исследования безопасности ПО, по внедрению практик РБПО, и другие связанные с ними материалы от участников сообщества РБПО;
  • возможность протестировать инструменты безопасности ПО и даже получить доступ к Унифицированной среде ФСТЭК – по дополнительному запросу, при выполнении требуемых технических условий);
  • актуальные новости отрасли;
  • научные публикации по тематикам, связанным с безопасностью РБПО;
  • и многое другое.

Проект РБПО.РФ – это информационный ресурс Центра компетенций ФСТЭК России и ИСП РАН.

На нашем сайте мы используем cookie файлы, содержащие информацию о предыдущих посещениях веб-сайта. Данные обрабатываются для улучшения качества работы нашего веб-сайта. Если вы не хотите использовать cookie файлы, измените настройки браузера.