Ускоренная сертификация ПО
Регулирование / Статьи
ПО регуляторика
21.10.2022

Ускоренная сертификация ПО

ФСТЭК одобрила сокращение сроков сертификации средств защиты информации

Процесс сертификации средств защиты информации (СЗИ) будет ускорен. Соответствующий приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) РФ опубликован 19 октября на портале правовой информации. Эксперты, опрошенные RSpectr, единогласно заявили, что внесенные изменения очень важны для рынка. По их мнению, решение службы положительно повлияет на скорость выпуска СЗИ на отечественном рынке, что приведет к улучшению качества выпускаемой продукции.

ЧТО ИЗМЕНИЛОСЬ

Согласно новому документу, срок рассмотрения ФСТЭК заявки на сертификацию сокращен с месяца до 15 дней. Срок рассмотрения программы и методики сертификационных испытаний СЗИ сокращен с 30 до 10 дней. Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний СЗИ органом по сертификации теперь не должен превышать 30 календарных дней при прежних 60.

Если в экспертном заключении сделан вывод о возможности выдачи сертификата соответствия, ФСТЭК в срок не более 30 дней рассматривает материалы по сертификации СЗИ. Раньше эта процедура могла длиться до 45 дней. Также орган по сертификации, испытательная лаборатория и заявитель в срок не более 90 дней должны были устранить выявленные недостатки, при необходимости провести повторные сертификационные испытания СЗИ и представить во ФСТЭК доработанные материалы по их сертификации. Теперь это нужно сделать в течение 30 дней.

Кроме того, документом определены случаи, при которых разработчик СЗИ, имеющий сертификат соответствия процедур безопасной разработки программного обеспечения (ПО) требованиям национальных стандартов в области защиты информации, вправе самостоятельно провести сертификационные испытания разрабатываемых им СЗИ.

Под сертификацией СЗИ понимается проверка их характеристик на соответствие требованиям государственных стандартов или других нормативных документов по защите информации, выпущенных уполномоченными федеральными органами: ФСТЭК, ФСБ и Министерства обороны.

УСКОРЕНИЕ ПОМОЖЕТ РАЗРАБОТЧИКАМ

За последние полгода Россию покинуло несколько десятков иностранных разработчиков ИБ, а сертификаты ФСТЭК на их продукцию были аннулированы, рассказал RSpectr бизнес-консультант по информбезопасности Positive Technologies Алексей Лукацкий. Это поставило заказчиков перед проблемой, как не только защитить себя, но и сделать это по закону, который для ряда случаев требует сертификата регулятора. Эксперт отметил, что раньше процесс получения сертификата мог тянуться от полугода до года, что приводило к большим задержкам в оснащении заказчиков современными технологиями ИБ. Лукацкий уверен, что

сокращение срока оценки соответствия позитивно скажется и на самом рынке, и на потребителях

Он отметил, что в рамках импортозамещения нужно не только заместить ушедшие решения, но и предварительно их протестировать, а это может занимать несколько месяцев. По мере появления новых требований заказчиков вендоры будут их реализовывать, и скорость оценки соответствия является критичным фактором успеха импортозамещения, отметил Лукацкий.

Директор по безопасности «МойОфис» Александр Буравцов сказал RSpectr, что

сокращение сроков проведения работ по сертификации повысит градус конкуренции между компаниями-вендорами

В конечном счете это приведет к улучшению качества выпускаемой продукции как со стороны реализации требований по информационной безопасности, так и со стороны заявляемых функциональных возможностей.

Также это положительно повлияет на оперативность установки обновленного программного обеспечения для СЗИ, сказал RSpectr директор центра компетенций по информационной безопасности Т1 Интеграция Игорь Кириллов. По его словам, длительные сертификационные процедуры замедляют ввод в действие новых решений в ГИС и критической информационной инфраструктуре (КИИ).

С ним согласен руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Он сообщил RSpectr, что многие заказчики не имеют права использовать несертифицированное ПО, им приходилось ждать, пока вендор пройдет сертификацию, оставаясь без защиты. В масштабах всего рынка это было большой проблемой, и

ускорение процесса сертификации сильно укоротит процесс внедрения ПО. В случае с защитным софтом это критически важно

Сокращение сроков процедуры сертификации также соответствует стратегии активной цифровизации проектно-строительной отрасли, сообщил RSpectr директор по развитию ГК «СиСофт» Вадим Ушаков. Мы видим, что нормативные изменения ориентированы на развитие отечественного ПО. А это касается, в том числе, критической информационной инфраструктуры (КИИ), где все программные решения должны быть отечественными в ближайшие годы. В нынешних мобилизационных условиях, новые сроки сертификации соответствуют требованиям оперативного ввода объектов КИИ и поддержания их безопасности на должном уровне.

Сертификация решений, использующих компоненты иностранных разработчиков, ушедших с отечественного рынка и прекративших поддержку, запрещена, поэтому разработчикам срочно приходится искать им замену, подтвердил RSpectr руководитель направления криптографической защиты информации «Кросс технолоджис» Артем Бормотов.

Крайне важное в новом документе – это изменение подхода к сертификации, который теперь предполагает наличие «доверенной разработки» у заявителя, отметил председатель совета директоров «Базальт СПО» Алексей Смирнов в разговоре с RSpectr. Это означает перенос основной части проверок программных продуктов с испытательных лабораторий на разработчика. «Такое решение позволяет обеспечить для программных продуктов, реализующих средства защиты информации, реальную поддержку жизненного цикла с оперативным закрытием уязвимостей. Этим требованиям явно не удовлетворяют многие зарубежные разработчики, тем более те, кто отказался от поддержки своих продуктов в России», – сказал эксперт.

СЕРТИФИЦИРОВАННЫЕ ПРОДУКТЫ МОЖНО БУДЕТ ОБНОВИТЬ САМОСТОЯТЕЛЬНО

Новый приказ ФСТЭК разрешает компании-разработчику обновлять свой сертифицированный продукт без участия испытательной лаборатории, при наличии сертификата соответствия процедур безопасной разработки ПО требованиям национальных стандартов в области защиты информации. По словам Александра Буравцова, потенциально такое нововведение даст возможность разработчику сократить время на обновление сертифицированного решения. Также это позволит регламентирующему органу выполнять контроль в отношении реализуемых процессов, входящих в цикл безопасной разработки на стороне компании-разработчика.

Александр Буравцов рассказал, что

в последнее время наблюдается явный рост заинтересованности со стороны заказчиков к СЗИ отечественного производства

Также укрепляется и спрос на сертифицированное общесистемное и прикладное ПО. По данным эксперта, компании-вендоры успешно реализуют запросы заказчиков и требования регулятора в рамках реализации задач по импортозамещению. Так, средой функционирования для актуальной сертифицированной версии ПО «МойОфис Стандартный» выступают отечественные среды функционирования – Astra Linux, «Альт Линукс», РЕД ОС, ROSA, «Лотос» и другие.

Тот факт, что в ряде случаев разработчик теперь может самостоятельно провести сертификационные испытания разрабатываемых им СЗИ, дает преимущества компаниям, которые внедряют у себя требования по безопасной разработке, включая требования ГОСТ Р 56939-2016, пояснил RSpectr Евгений Родыгин. При этом порядок сертификации компаний по требованиям безопасной разработки и описание порядка проведения самостоятельных сертификационных испытаний на сегодняшний день регулятором не установлены.

Евгений Родыгин, «Киберпротект»:

Скорее всего, это разрешение некоторых давно назревших вопросов и шаг в развитии системы регулирования сферы информационной безопасности в России. С другой стороны, приказ открывает двери для направления обеспечения безопасной разработки ПО, появляются практические преимущества развития этого направления.

Алексей Парфентьев уверен, что возможность вендоров самостоятельно проверять разрабатываемый софт на безопасность, даже для тех случаев, когда затронуты функции безопасности, – очень важное изменение. По правилам, которые существовали до сих пор, вендоры должны передавать на проверку в лабораторию ФСТЭК любое обновление программы.

Алексей Парфентьев, «СёрчИнформ»:

В случае с ИБ исполнить такие требования очень сложно, потому что минорные обновления (патчи) для защитных решений должны выходить чуть ли не каждый день. Иначе софт не способен реагировать на Zero-уязвимости и прочие быстро меняющиеся угрозы. Возникала проблема – заказчик был вынужден либо пользоваться несертифицированным ПО нелегально, либо в ожидании прохождения сертификации оставаться незащищенным. При этом новые продукты и проверки по окончании действия сертификатов будут проходить, как прежде, в полном объеме.

Алексей Парфентьев отметил, что в части сегментов рынка иностранных СЗИ фактически не было. Есть госкомпании, которые по закону обязаны использовать отечественный софт, есть ГИСы, субъекты КИИ, которые обязаны внедрять только сертифицированный софт, а не отечественное ПО сертификатом похвастаться не может. Причины этого – в сути проверки в ходе сертификации, когда лаборатория исследует исходный код. Зарубежные разработчики российским регуляторам его не передавали, объяснил эксперт.

Есть продвижение в частном сегменте, который не обязан по закону использовать отечественное ПО. Но тут сработал рынок – с уходом иностранных игроков в начале этого года компании столкнулись с необходимостью экстренно внедрять российские программы, сказал Алексей Парфентьев.

Екатерина Шокурова

Изображение: RSpectr, Adobe Stock

Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании