2-3 декабря в Москве состоялась Открытая конференция Института системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН), являющаяся главным ежегодным научным форумом в области безопасной разработки программного обеспечения (ПО), технологий анализа, моделирования и трансформации программ.
На этой конференции специалистами ГК Astra Linux и ИСП РАН были представлены основы формируемой с их участием методологии разработки безопасного системного ПО.
Актуальность методологии подтверждается тем, что разработка безопасного системного ПО, на основе которого строятся отечественные сертифицированные средства защиты информации (СЗИ), достижение доверия к нему согласно требованиями нормативных документов регуляторов – крупная научно-техническая проблема. Путем ее решения является отражение в методологии передовых научных результатов в области информационной безопасности и системного программирования, а также лучших практик разработки системного ПО, в первую очередь – операционных систем (ОС).
При этом основными направлениями методологии являются, во-первых, деятельность по развитию нормативной базы в области разработки и обеспечения доверия к безопасному системному ПО, включая создание профильных национальных стандартов. Во-вторых, разработка и верификация формальных моделей управления доступом как основы механизмов защиты, входящих в состав системного ПО, интерфейсы которых составляют его поверхность атаки. В-третьих, методы и технологии статического и динамического анализа программного кода системного ПО с учетом его специфики. В-четвертых, способы сбора и аналитической обработки данных, получаемых в ходе анализа программного кода системного ПО.
Все методы, технологии, инструментальные средства, получаемые при формировании методологии, проходят апробацию при разработке ОС семейства Linux, в том числе сертифицированной по высшим классам защиты и уровням доверия операционной системы специального назначения Astra Linux Special Edition.
Вместе с тем, процесс создания методологии еще далек от своего завершения, требуют совершенствования многие составляющие ее технологии и методы, в особенности – направленные на определение глубины поверхности атаки и на анализ программного кода системного ПО с учетом его объемов и сложности. Кроме того, требуют расширения спектр поддерживаемых инструментальными средствами анализа кода языков программирования, а также состав поддерживаемых аппаратных платформ, в первую очередь базирующихся на отечественных процессорах, таких как Baikal или «Эльбрус».
«Залогом успеха формирования методологии и ее внедрения в практику разработки безопасного системного ПО является объединение в этом направлении усилий отечественных регуляторов, научного сообщества и разработчиков такого ПО. При этом специалисты ИСП РАН вносят свой вклад как научными исследованиями, созданием специализированных инструментальных средств, так и организационно, обеспечивая функционирование «Центра верификации ОС Linux», в рамках которого новые методы и инструменты применяются к компонентам ОС. Только в ядре ОС Linux специалистами Центра было выявлено и исправлено более 500 ошибок», – отмечает Алексей Хорошилов, кандидат физико-математических наук, директор «Центра верификации ОС Linux» в ИСП РАН.
«Очень важным при формировании методологии является участие в этом представителей ведущих российских разработчиков системного ПО, которые не только осваивают соответствующие технологии и инструментальные средства, а, что главное, вносят свой вклад в их развитие и научное сопровождение. При этом уже имеющийся опыт успешной апробации методологии при создании СЗИ на основе Astra Linux Special Edition подтверждает правильность выбранного пути и востребованность методологии при разработке безопасного системного ПО и обеспечении доверия к нему», – резюмирует Петр Девянин, доктор технических наук, профессор, научный руководитель ГК Astra Linux.