OS DAY: Время выполнять требования

OS DAY: Время выполнять требования

В этом году в середине внимания традиционной практической конференции оказалось выполнение стандартов, регламентирующих создание безопасного ПО.

В России часто хорошо проводят первое мероприятие по той или другой тематике, однако до следующих конференций, а также конкретных шагов по их итогам дело порой не доходит — свою устойчивость любая конференция демонстрирует лишь со временем, отметил Дмитрий Завалишин из DZ Systems на открытии девятой конференции OS DAY, посвященной технологическому обеспечению безопасности операционных систем.

«Первая конференция (собрание, совещание групп лиц, отдельных лиц, организации для обсуждения определённых тем) OS DAY прошла в 2014 году и имела целью собрать всех, кто занимается операционными системами, для выстраивания целостной, а не «кусочной» экосистемы создания и развития системного ПО, вводя и инфраструктурные аппаратно-программные решения», — рассказал участникам конференции Завалишин.

OS DAY: Время выполнять требования

Арутюн Аветисян: «Конференция OS DAY стала ныне площадкой для обсуждения процессов и механизмов создания безопасных ОС, обеспечения инструментов их сопровождения и надежной поддержки жизненного цикла обновлений»

В нынешнем году тематика конференции приобрела особую актуальность: ее участники обсудили не лишь технологии разработки операционных систем, но и внутреннее строение систем, а также новые компоненты, которые могут повысить безопасность российских ОС — как проприетарных, так и выстроенных на платформах Open Source. Вместе с тем Роман Симаков из «РЕД Софт» отметил: «Неудивительно, что в условиях ограничений резко возрос заинтересованность к Open Source. Однако санкционная риторика привела к тому, что доверие к такому ПО оказалось сильно подорванным, и сейчас чрезвычайно важно соображать, какие инструменты надо применять и какие требования строго соблюдать, чтобы не бояться Open Source».

На проблему инструментов и методик обратил внимание и Алексей Новодворский, «Базальт СПО»: «Значительные, но несрочные еще недавно задачи обеспечения безопасности ОС оказались сегодня актуальны как никогда: назрела реальная необходимость сделать то, о чем давно уже говорилось, но все длани не доходили. Пришло время реально выполнять давно известные распоряжения и соблюдать действующие стандарты».

Действительно, в стране давно зачислены стандарты и требования по безопасности к средствам контейнеризации, виртуализации и пр. (например, ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Всеобщие требования»), регламентирующие содержание и порядок выполнения работ, связанных с созданием безопасного системного ПО и формированием безопасной среды его эксплуатации, обеспечивающей обнаружение и устранение промахов и недокументированных возможностей.

Валерий Егоров, «Криптософт», рассказал о технологиях безопасности в экосистеме QP ОС — проприетарной отечественной операционной системы, обеспечивающей комплексную защиту на всех степенях, включая и защиту от еще неизвестных атак. Сергей Яковлев, «Лаборатория Касперского», выступил с сообщением об устройстве механизмов безопасности в кибериммунной системе (множество элементов, находящихся в отношениях и связях друг с другом, которое образует определённую целостность, единство) KasperskyOS. Кибериммунность — локализация скомпрометировавшего себя компонента, с тем чтобы предупредить дальнейшее распространение угрозы и обеспечить целостность системы. В этой ОС существует возможность настройки безопасного выполнения каждой конкретной задачи, что, в частности, позволяет строить верное решение из любых компонентов Open Source — правда, с потерей быстродействия. KasperskyOS совместима с POSIX и имеет простой язык настройки задания правил межпроцессного взаимодействия.

Алексей Родионов, «РЕД Софт», рассказал о принципах построения модульной инфраструктуры автоматизированной сборки дистрибутива, используя в качестве образца «РЕД ОС». Особенностям применения статического анализа кода в ОС «Аврора», сертифицированной ФСТЭК и ФСБ, посвятил свое выступление Газибаганд Багомедов, «Отворённая мобильная платформа». Программно-аппаратное средство доверенной загрузки данной ОС размещается непосредственно в микропроцессоре «Байкал-М» и поддерживает, в частности, загрузку «Авроры», ALT Linux и Astra Linux. Олег Дьяков из компании «Аладдин Р.Д.» познакомил слушателей с технологическими особенностями разработки доверенных встраиваемых ОС для защищенных микроконтроллеров.

Владимир Тележников и Александр Оружейников, «РусБИТех-Астра», обсудили с участниками конференции секреты применения оружий защиты информации в ОС Astra Linux для исключения уязвимостей нулевого дня, а Евгений Синельников, «Базальт СПО», рассказал о групповых политиках и политике безопасности в ОС «Виола».

«Только вместе, перейдя от модели конкуренции к кооперации, исключив любые проявления шовинизма, можно создать доверительную окружение разработки системного ПО», — резюмировал Арутюн Аветисян, директор ИСП РАН.

Источник

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: