АРПП | Новости и события
834 subscribers
528 photos
4 videos
306 links
Официальный канал Ассоциации разработчиков программных продуктов «Отечественный софт». Актуальные новости крупнейшего ИТ-объединения России.
Download Telegram
5 июня в Москве на площадке «ИнфоТеКС» состоялась конференция по безопасной разработке ПО, организованная Ассоциацией «Отечественный софт»

Эксперты ИСП РАН, Банка России, МГТУ им. Н.Э. Баумана, а также компаний-участников АРПП рассмотрели актуальные нормативные требования к разработке безопасного ПО (РБПО), обменялись опытом применения и лучшими практиками становления процессов ИБ. Модератором выступил Роман Карпов, глава комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK.

🎬 Открывая конференцию, исполнительный директор АРПП Ренат Лашин, отметил возрастающий интерес членов ИТ-объединения к РБПО: «АРПП уже во второй раз проводит для своих участников мероприятие, посвященное безопасной разработке ПО. Первая конференция на эту тему — Kaspersky SDL Day — состоялась в декабре 2023 года. Темой безопасной разработки мы стали активно заниматься с 2022 года и заключили соглашение с ИСП РАН. В рамках этого сотрудничества члены Ассоциации имеют возможность работать с институтом на льготных условиях, в том числе, пользоваться инструментами разработки». Сергей Акимов, заместитель гендиректора по спецпроектам и стандартизации «ИнфоТеКС», в приветствии подчеркнул актуальность темы и особое внимание регуляторов к вопросам информационной безопасности, систематическую работу по созданию новых инициатив и инструментов, обновлению существующих стандартов.

🔺Центральной темой Дня разработки ПО стало обсуждение нового проекта ГОСТ Р №56939-2016 «Защита информации. Разработка безопасного программного обеспечения». Эксперты проанализировали отраслевые нормативные документы и технологические стандарты ИБ, отметив важность использования безопасной разработки при создании информационных систем и программных продуктов.

🔺ИСП РАН и ФСТЭК России представили совместный доклад о ГОСТ по безопасной разработке. Вартан Падарян, ведущий научный сотрудник ИСП РАН, руководитель направления обратной инженерии бинарного кода, рассказал о вопросах регламентации ИБ. Спикер назвал стандартизацию «наиболее эффективным механизмом регулирования», так как массовое участие экспертных организаций в данном процессе позволяет прийти к объективному и актуальному решению. Среди существующих стандартов Вартан Падарян выделил ГОСТ, технологические и отраслевые требования. Важность комплексной ориентации на ряд стандартов эксперт обозначил основной задачей, стоящей перед ИБ-отраслью. Спикер также определил планы развития инструментов разработки безопасного ПО. Одной из целей для дальнейшей работы Вартан Падарян назвал формирование уровней, определяющих зрелость каждого отдельного сертифицируемого предприятия, внедрившего практики ИБ-разработки.

🔺 Анастасия Сакулина, консультант отдела информационной безопасности и киберустойчивости финансовых технологий Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России, выступила с докладом о «Профиле защиты» — документе Банка России, в котором зафиксирована методология безопасной разработки. Эксперт подробно рассказала об изменениях в обновленной редакции «Профиля защиты». Среди новых целей в «Профиле защиты» теперь зафиксированы: быстрая разработка в условиях изменяющихся требований и обеспечение ИБ как неотъемлемой части процесса создания ПО. Спикер акцентировала внимание на важности присутствия «офицеров ИБ и секьюрити-чемпионов» в команде разработчиков. В числе ожидаемых эффектов от внедрения безопасной разработки Анастасия Сакулина назвала коллегиальное принятие решений в отношении рисков ИБ, уменьшение стоимости и повышение скорости исправления уязвимостей.

🔺 О показателях и критериях безопасности ПО рассказал Алексей Сабанов, доктор технических наук, профессор МГТУ им. Н.Э. Баумана, главный эксперт НТК ТИО АО НИИАС. Как наиболее показательные параметры безопасности он выделил обеспечение целостности, защиту от НСД, отсутствие НДВ и известных уязвимостей.
🔺Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения ИСП РАН, представил результаты исследования безопасности программных компонентов с открытым исходным кодом. Базовая идея работы заключалась в определении конкретного целевого компонента и формировании работы над систематическим процессом анализа безопасности ПО.

Практикой внедрения РБПО и подходами к реализации положений нормативных стандартов и становлению ИБ-процессов поделились эксперты компаний, участников Ассоциации «Отечественный софт»:

▪️Анастасия Калугина
, руководитель направления безопасной разработки и инфраструктуры «ИнфоТеКС», рассказала о методах и инструментах Security by Design в разработке.

▪️Николай Курочкин, начальник отдела сертификационных испытаний СЗИ «СФБ Лаб», представил доклад о практической пользе использования формальных моделей в процессе РБПО.

▪️Карина Нападовская
, руководитель центра сертификации и соответствия стандартам «Лаборатории Касперского», поделилась опытом создания отраслевых стандартов в области безопасной разработки.

▪️Екатерина Рудина, руководитель группы аналитиков по ИБ «Лаборатории Касперского», посвятила выступление обзору национальных нормативных документов с точки зрения разработки конструктивно безопасных систем.

▪️Сас Арустамян, директор центра оценки соответствия и тестирования АО «НПО «Эшелон», говорил о практике внедрения и последующей модернизации процессов по РБПО в соответствии с регулярно обновляемыми стандартами.

▪️Сергей Трошкин, руководитель направления сертификации Positive Technologies рассказал о процессном подходе при разработке безопасного ПО. Представители отрасли сошлись во мнении о практической пользе и необходимости использования безопасной разработки в производстве программных продуктов, подчеркнув значимость экспертизы и комплексного подхода к РБПО.
Наталья Касперская, председатель правления АРПП «Отечественный софт», вошла в новый состав Общественного совета при Минцифры России

Общественный совет при Минцифры — совещательно-консультативный орган. Основная цель его работы — вовлечение общества в деятельность министерства и диалог с представителями профессиональных объединений. Участники совета могут вносить предложения по корректировке мероприятий министерства с учетом общественного мнения и отраслевых интересов.

Вхождение в Общественный совет позволит Ассоциации «Отечественный софт» еще более системно транслировать позицию отрасли разработки российского ПО.

В новый состав Общественного совета при Минцифры также вошли представители других общественных организаций, фондов и союзов в сфере цифрового развития, связи и массовых коммуникаций. Среди них — АПКИТ, РСПП, ИРИ, Деловая Россия, ТПП РФ и другие. Подробнее с обновленным составом участников совета можно ознакомиться ЗДЕСЬ

Первое заседание нового состава совета пройдет в ближайшее время на площадке Общественной палаты РФ.
С Днем России!

Этот праздник объединяет всех, кто своим трудом, мужеством и талантом способствует процветанию и укреплению нашей страны.

Именно единство делает нас сильнее и позволяет достигать новых высот. Вместе мы сможем преодолеть любые испытания и реализовать самые амбициозные цели во благо нашего общего будущего!🇷🇺🇷🇺🇷🇺
Please open Telegram to view this post
VIEW IN TELEGRAM
АРПП «Отечественный софт» направила ФСТЭК письмо с предложением разработать стандарты и требования к новым классам средств защиты информации (СЗИ)

Средства защиты информации в России сформировались как отдельные классы систем кибербезопасности. Сегодня они успешно используются в госсекторе, банковской сфере, промышленности, здравоохранении, образовании, ритейле, телекоммуникациях и других критически важных отраслях. Однако в стране до сих пор отсутствует нормативно-правовое регулирование систем данного класса. Речь идет о следующих классах ПО:

🔹Средства управления инцидентами информационной безопасности (SOAR/IRP)
🔹Средства управления информацией об угрозах безопасности информации (TIP, UEBA)
🔹Средства автоматизации управления процессами информационной безопасности (SGRC).

В силу отсутствия требований по безопасности информации к перечисленным классам ПО возникает ситуация, при которой организации допускают использование opensource-решений из недружественных стран, продолжают эксплуатацию зарубежных решений, что увеличивает риски информационной безопасности, или нерационально тратят ресурсы, разрабатывая собственные продукты при наличии имеющихся на рынке, отмечает Олег Кравчук, член правления АРПП, руководитель ЦКР по СЗИ.

Также отсутствие четких требований к продуктам в этом классе создает сложности и для российских вендоров. По словам Романа Карпова, главы комитета по информационной безопасности АРПП, среди острых вопросов - отсутствие единой стандартизации, проблемы качества решений и их совместимости, сложности выбора ПО для заказчика из-за размытости критериев и функций безопасности. Вместе с тем, данные решения ориентированы преимущественно на крупные, системообразующие организации, в том числе, применяются для защиты субъектов КИИ.

❗️В целях упорядочивания сложившейся ситуации и обеспечения защиты объектов КИИ, ГИС, АСУТП, ИСПДн Ассоциация «Отечественный софт» предложила ФСТЭК разработать стандарты и требования по безопасности информации к новым классам СЗИ. Совместно с ведомством эксперты АРПП готовы участвовать в разработке соответствующих документов и формировании перечня реализуемых функций безопасности.
💥 В состав Ассоциации вошли 4 новые ИТ-компании

19 июня на заседании Правления АРПП «Отечественный софт» в члены объединения были приняты:

🔸Атомик Софт — разработчик ПО для построения систем автоматизации технологических процессов

🔸СДИ Софт — разработчик систем технического учета для ИТ и телекоммуникационных служб, ЦОДов

🔸Т2 Софт — разработчик цифровой платформы для промышленных предприятий

🔸 Юниверс Дата — разработчик систем управления и администрирования данных.

Поздравляем новичков и желаем продуктивной совместной работы!
🎙Продолжаем рубрику «История одной компании», в которой топ-менеджеры и собственники ИТ-бизнеса, участники АРПП, делятся историями становления и развития своих предприятий.

О том, как создавалась компания Simpl и к чему стремится сейчас – рассказывает генеральный директор Михаил Савиных:

🖊 В 2016 году нас было около 10 человек, и вместе мы начинали разрабатывать проект, который очень заинтересовал нашего первого заказчика. Мечтали о том, чтобы впервые в масштабах огромного нефтегазового предприятия создать уникальную систему планирования показателей добычи нефти и газа.

🖊 Мы разрабатывали систему днями и ночами и тогда, 7 лет назад, не жалели сил, времени, себя. В командировке всегда собирались в чайной, где проводили мозговые штурмы, бурно обсуждали текущие задачи. Срочные возникающие проблемы решали почти круглосуточно, отправляли разработчикам задачи на доработку, они готовили обновления, а поутру ехали к заказчику и презентовали готовый этап. Бывало и такое, что ошибки в программе возникали на демо-показах, и на исправления нам давали всего день.

🖊 Самый тяжелый момент был связан с пониманием сферы деятельности заказчика. При разработке первого проекта каждые 2–3 недели ездили по дочерним предприятиям, чтобы понять проблемы пользователей, схему и нюансы работы.

🖊 Мы отправляли каждого нового сотрудника в командировку, чтобы он прошел полное погружение в отрасль. Один из наших сотрудников, который сейчас является руководителем проектного офиса, проехал «нефтяное кольцо» России на машине, санях, поездах. А после того, как вернулся, уже мог сам подсказывать сотрудникам заказчика рабочие моменты.

🖊 Нашей основной целью сейчас остается разработка и внедрение инновационных, аналитических инструментов, которые обеспечивают четкое понимание тенденций и потенциал будущих результатов.
На ночном форуме для операторов связи International Night Telecom Forum, прошедшем 18-22 июня в Петербурге, глава комитета АРПП по телекоммуникациям Николай Михайлов выступил модератором круглого стола «Проблемы и взгляд ассоциаций на телеком-рынок».

Публикуем краткие тезисы его выступления:

📡 Для развития импортонезависимости объем телеком-рынка должен покрывать инвестиционные затраты отечественных разработчиков. Рынок должен быть достаточно большим, поэтому необходимо блокировать инициативы, направленные на его сокращение. Например, такие, как легализация пиратства иностранных программных продуктов, ушедших из России.

📡 Регулирование рынка не должно приводить к монополизации. Речь идет о законе о бесплатной трансляции телеканалов в Интернете, где функция обеспечения трансляции ТВ-сигнала законодательно закреплена за единственной организацией — «Витрина ТВ». АРПП выступает за то, чтобы требования о наличии исключительных прав на ПО этой организации были пересмотрены, а требования к ПО для вещания каналов первого и второго мультиплекса оформлены в виде ГОСТа. В настоящий момент идет разработка Концепции телерадиовещания, и разработчики рассчитывают на то, что их позиция будет учтена.

📡 Российские вендоры выступают за корректное рассмотрение ИЦК вариантов разработки, дублирующих уже существующие на рынке решения.

📡 Налоговые льготы для компаний-разработчиков отечественных решений должны быть долгосрочными.
Please open Telegram to view this post
VIEW IN TELEGRAM
Состоялась серия летних заседаний комитетов АРПП «Отечественный софт»

🔹18 июня Комитет по развитию экосистемы российских мобильных продуктов провел первую установочную встречу. На заседании представители компаний-разработчиков, а также эксперты сферы ИТ и телекоммуникаций определили приоритетные направления работы для устойчивого развития экосистемы российских мобильных решений и рассмотрели актуальные вопросы деятельности комитета.

🔹25 июня состоялась встреча Комитета по информатизации здравоохранения. Участники обсудили мероприятия в сфере цифровизации здравоохранения и меры поддержки в контексте нового Федерального проекта «Цифровые сервисы для здравоохранения» в рамках Национального проекта «Экономика данных и цифровой трансформации». Также на встрече было решено создать общее пространство для обсуждения распоряжения Правительства РФ от 17.04.24 г. N959-р «Стратегическое направление в области цифровой трансформации здравоохранения».

🔹26 июня прошло первое в этом году заседание Правового комитета. Эксперты рассмотрели нормативные активности компаний-членов АРПП и обсудили статус их реализации. По итогам заседания был доработан и поддержан GR-план Ассоциации, нацеленный на регулярное взаимодействие с органами власти для сотрудничества в правовой сфере и защиты интересов отечественного ИТ-бизнеса. Кроме того, члены комитета обсудили текущие законопроекты и инициативы, находящиеся в стадии рассмотрения, статус их проработки.

🔹27 июня состоялась встреча участников PR-клуба АРПП - специалистов маркетинговых и PR-направлений компаний-членов Ассоциации. Для усиления эффективности продвижения участников АРПП была предложена идея создать внутри ассоциации маркетинговое сообщество, которое займется реализацией проектов партнерского маркетинга ИТ-компаний и генерацией ключевых маркетинговых активностей под эгидой АРПП. Также в ходе дискуссии был сформирован перечень дополнительных пресс-мероприятий и спецпроектов АРПП в новых форматах.

Напомним, на площадке АРПП работают 13 комитетов по различным направлениям ИТ: интеграции российского ПО, экспорта, развития финансирования ИТ-отрасли, информационной безопасности, телекоммуникациям, цифровой трансформации, искусственному интеллекту, информатизации образования и медицины, а также правовой комитет, комитет по информационному моделированию градостроительной деятельности, комитет по промышленной автоматизации и комитет по развитию экосистемы российских мобильных продуктов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM