Проект

ФСТЭК представила дорожную карту и текущий статус создания унифицированной среды разработки безопасного отечественного ПО

Заказчики: Федеральная служба по техническому и экспортному контролю (ФСТЭК России)

Москва; Государственные и социальные структуры

Без привлечения консультанта или нет данных

Дата проекта: 2022/02

Содержание

2025
- ФСТЭК представила дорожную карту и текущий статус создания унифицированной среды разработки безопасного отечественного ПО
- Правительство РФ определило ИСП РАН единственным исполнителем работ по созданию унифицированной среды разработки безопасного ПО
2024
- Включение в нацпроект «Экономика данных» гособлака для безопасной разработки ПО
- Выделение 1,6 млрд рублей на безопасную разработку российских ОС и разнообразного ПО
2022
Примечания

СМ. ТАКЖЕ (2)

2025

ФСТЭК представила дорожную карту и текущий статус создания унифицированной среды разработки безопасного отечественного ПО

В июне, наконец, был заключен контракт с Институтом системного программирования им. В.П. Иванникова (ИСП РАН) как единственным поставщиком работ по созданию унифицированной среды разработки безопасного отечественного программного обеспечения. Об этом 17 июня на отраслевом мероприятии сообщила Ирина Гефнер, замначальника 2-го управления ФСТЭК России.

Унифицированная среда представляет собой набор инструментов для разработки безопасного ПО. Как доложила представитель ФСТЭК, по состоянию на июнь среда включает 12 таких инструментов, в числе которых традиционные инструменты статического и динамического анализа кода и специализированные инструменты выявления утечек информации из памяти и т.д. Уже проведена апробация этих инструментов в нескольких организациях, а также создана методология по их внедрению.

Это универсальный механизм, который позволит нам в ближайшем будущем процесс РБПО автоматизировать, как любят говорить: «Чтобы одну кнопку нажал, и всё было красиво и безопасно». Мы стремимся к этому, — отметила Ирина Гефнер.

А достигнуть этого планируется к 2030 году, когда должна завершиться работа по созданию унифицированной среды разработки безопасного отечественного ПО.

Из презентации Ирины Гефнер

К указанному сроку планируется создать облачный сервис унифицированной среды, который разработчики смогут использовать вместе с методологией, и внедрять у себя на предприятиях полный цикл разработки безопасного отечественного ПО.

Что же касается ближайших перспектив, контракт с ИСП РАН заключен на два года, и в планы входит расширение номенклатуры языков программирования, для которых тоже будут разработаны типовые методики. Речь идёт о наиболее популярных языках.

В планах есть и искусственный интеллект: должно быть проведено исследование, чтобы внедрить механизмы ИИ, в частности, машинного обучения, в работу анализаторов. Зарубежная практика показывает, что такие попытки уже предпринимаются, но об успехах можно будет судить позже, когда наработается больше практики применения, заключила Ирина Гефнер.

Из презентации Ирины Гефнер

Создание унифицированной среды — один из шагов в развитии сферы разработки безопасного программного обеспечения. Регуляторные меры в этой области системно предпринимаются уже на протяжении около 10 лет. Среди последних — выпуск в 2024 году новой редакции стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Правительство РФ определило ИСП РАН единственным исполнителем работ по созданию унифицированной среды разработки безопасного ПО

21 мая 2025 года председатель Правительства РФ Михаил Мишустин утвердил распоряжение о выборе единственного исполнителя работ по созданию унифицированной среды разработки безопасного отечественного программного обеспечения. Им станет Федеральное государственное бюджетное учреждение науки Институт системного программирования им. В.П. Иванникова Российской академии наук.

Соответствующую закупку в 2025–2026 годах осуществит Федеральная служба по техническому и экспортному контролю России (ФСТЭК). К исполнению государственного контракта Институт системного программирования им. В.П. Иванникова сможет привлекать субподрядчиков и соисполнителей при условии личного выполнения не менее 50% совокупного стоимостного объема обязательств. Предельным сроком выполнения работ установлено 20 декабря 2026 года.

Михаил Мишустин

Как ранее сообщала газета «Коммерсантъ», унифицированная среда разработки безопасного отечественного ПО позволит российским компаниям создавать исходно доверенные с точки зрения информационной безопасности решения для субъектов критической информационной инфраструктуры (КИИ). Внедрение принципов безопасной разработки призвано снизить количество уязвимостей в исходном коде, что положительно скажется на общем уровне безопасности программных продуктов и информационных систем.

Институт системного программирования им. В.П. Иванникова входит в реестр аккредитованных организаций Минцифры, осуществляющих деятельность в области информационных технологий. Институт разрабатывает продукты в таких областях, как операционные системы, компиляторные технологии, анализ и обработка больших данных, искусственный интеллект и др. Сотрудники института преподают на кафедрах системного программирования ряда российских университетов.^[1]

2024

Включение в нацпроект «Экономика данных» гособлака для безопасной разработки ПО

ФСТЭК России включила в национальный проект «Экономика данных» создание облачной платформы для разработки безопасного программного обеспечения. О запуске проекта, который будет реализован к 2030 году, стало известно 21 ноября 2024 года.

Как передает ComNews, заместитель начальника 2-го управления ФСТЭК России Ирина Гефнер заявила, что платформа предоставит разработчикам отечественного ПО инструменты для самостоятельного проведения исследований по безопасности программного обеспечения. Работы по созданию сервиса начнутся в 2025 году.

В нацпроект «Экономика данных» вошло гособлако для безопасной разработки ПО

Директор портфеля решений в области информационной безопасности «Нота Купол» Игорь Душа подчеркивает актуальность проекта в связи с новыми требованиями к разработчикам ПО для объектов критической информационной инфраструктуры и обновлением ГОСТ по безопасной разработке в 2024 году.

Технический директор BPMSoft Алексей Гришин отмечает важность включения в функционал платформы возможности получения сертификатов соответствия, особенно для программного обеспечения, используемого в государственных информационных системах.

Аналитик по информационной безопасности АО «Аскон» Тимур Белкин указывает на потенциал платформы как источника практического опыта для оперативной актуализации нормативной базы ФСТЭК России.

Руководитель службы информационной безопасности «МойОфис» Дмитрий Соколов прогнозирует, что сервис будет наиболее востребован среди малых компаний, не имеющих собственных средств для реализации инструментов безопасной разработки.

Заместитель генерального директора по науке АО «СиСофт Девелопмент» Михаил Бочаров подчеркивает значимость платформы для обмена опытом и знаниями между разработчиками, что будет способствовать созданию более надежных программных решений.^[2]

Выделение 1,6 млрд рублей на безопасную разработку российских ОС и разнообразного ПО

В августе 2024 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) получит ₽1,6 млрд из федерального бюджета для реализации пяти проектов в области информационной безопасности. Эти средства направлены на развитие унифицированной среды для безопасной разработки отечественного программного обеспечения, создание инфраструктуры для исследования безопасности российских операционных систем и проведение тестирования обновлений программного обеспечения зарубежных разработчиков.

Как сообщает CNews, одним из главных направлений финансирования станет разработка унифицированной среды безопасной разработки программного обеспечения. На этот проект до конца 2024 года выделено ₽423 млн. Проектом займется Институт системного программирования имени В. П. Иванникова Российской академии наук (ИСП РАН), который выиграл соответствующий конкурс. Первый этап включает анализ классов прикладного и системного отечественного ПО, используемого в государственных информационных системах и на объектах критической информационной инфраструктуры России. Далее будут разработаны методология и набор инструментов для обеспечения безопасной разработки ПО, а также порядок их распространения среди организаций-разработчиков.

ФСТЭК выделено 1,6 млрд рублей на безопасную разработку российских ОС и ПО

Еще один важный проект, включенный в федеральный проект «Информационная инфраструктура», — создание инфраструктуры для систематического исследования безопасности критичных компонентов российских операционных систем. На его реализацию предусмотрено ₽309 млн. Здесь также победителем конкурса стал ИСП РАН. В рамках проекта планируется разработать методологии для архитектурного анализа и фаззинг-тестирования, а также организовать полносистемный динамический анализ критичных компонентов, которые влияют на безопасность отечественного ПО.

Третий проект направлен на разработку инфраструктуры для тестирования обновлений безопасности программного обеспечения зарубежных разработчиков. Этот проект получил финансирование в размере ₽79 млн. За его реализацию будет отвечать Государственный научно-исследовательский институт технической защиты информации (ГНИИТЗИ) при ФСТЭК. Основной задачей станет разработка методологии для оценки критичности уязвимостей в ПО и организация процесса тестирования обновлений на предмет наличия в них незадекларированных возможностей.^[3]

2022

16 февраля 2022 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) России объявил тендер на «создание унифицированной среды разработки безопасного отечественного программного обеспечения». Начальная (максимальная) цена контракта составляет 510 млн рублей.

Как пишет «Коммерсантъ» со ссылкой на техническую документацию к этому проекту, в рамках него планируется создать набор программных решений, в котором российские разработчики ПО смогут писать исходно доверенные с точки зрения информационной безопасности решения для субъектов критической информационной инфраструктуры (КИИ).

ФСТЭК создает систему для безопасной разработки ПО за 0,5 млрд рублей

Доверенная среда необходима, чтобы российские компании при создании ПО не могли случайно или намеренно оставить в нём уязвимости и бэкдоры. Платформа предназначена прежде всего для разработки продуктов для оборонных ведомств, финансового сектора, энергетической отрасли и других структур, где требуется максимальный уровень безопасности.

В Минцифры пояснили изданию, что к февралю 2022 года доверенные среды разработки ПО есть у отдельных компаний, которые используют их под свои нужды. Создание именно унифицированной среды позволит использовать ее широкому кругу заинтересованных разработчиков, добавили в министерстве.

По мнению источника газеты на софтверном рынке, унифицированная среда разработки безопасного ПО необходима, чтобы ФСТЭК могла фактически в реальном времени контролировать процесс его создания. Впоследствии российские компании могут обязать разрабатывать софт для субъектов КИИ исключительно в этой системе, чтобы снизить риски информационной безопасности, считает он.

Заявки на открытый конкурс принимаются до 4 марта 2022 года, итоги будут подведены 11 марта. Система должна быть запущена к декабрю 2024-го. Финансирование этого проекта ведется за счет средств ФСТЭК, выделенных из федерального бюджета и заложенных паспортом федпроекта «Информационная безопасность».^[4]