ИТ / Новости
информбезопасность персональные данные ПО технологии
20.9.2019

Госорганы усложнили правила сертификации для IT-компаний

Новые требования обязывают разработчиков с 1 января 2020 года предоставлять исходный код продукта.

Ряд компаний, в числе которых «Новые облачные технологии» (НОТ) и «Лаборатория Касперского», могут не успеть обновить сертификат на средства защиты информации к этому сроку, рассказали РБК несколько источников на IT-рынке.

О возможной приостановке действия таких сертификатов с 1 января будущего года, если разработчики и производители не проведут переоценку их соответствия уровням доверия, Федеральная служба по техническому и экспортному контролю (ФСТЭК) заявляла еще весной. Не прошедшие новую сертификацию средства защиты информации нельзя будет применять в государственных информационных системах и хранилищах персональных данных.

Однако переоценка должна проводиться в соответствии с новыми критериями от 1 июня 2019 года, которые стали гораздо жестче, рассказали собеседники издания. Они предусматривают полный доступ к исходному коду продукта для проверки на предмет наличия недекларированных возможностей (так называемые закладки или скрытые функции, которые, например, приводят к нарушению конфиденциальности).

«Чтобы начать процесс сертификации, любой вендор должен будет предоставить для анализа исходный код своих продуктов, но не все могут себе это позволить в связи с собственными политиками безопасности», – отметила руководитель группы сертификации «Лаборатории Касперского» Карина Нападовская.

На данный момент в реестре сертифицированных средств защиты информации более 4,1 тыс. наименований, но лишь 36 сертификатов были выданы после 1 июня. Но, по словам руководителя службы информбезопасности НОТ Александра Буравцова, на данный момент в реестре нет средств, сертифицированных по новым правилам. «С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет», – пояснил эксперт.

«Те компании, которые только сейчас задумываются о том, что необходимо обновлять сертификат, скорее всего, не успеют к 1 января. В этом случае ФСТЭК придется либо продлевать сроки действия старых сертификатов, либо отзывать их», — указал независимый эксперт в сфере информационной безопасности Алексей Лукацкий.

Еще одной проблемой является то, что сертификат может получить только российское юрлицо (разработчик, заказчик, «дочка» вендора, дистрибьютор и т.д.), но раскрыть исходный код невозможно без участия или разрешения разработчика этого ПО. При этом для некоторых компаний из США действует прямой запрет на предоставление кода, пояснили эксперты.

Изображение: Freepik.com

Еще по теме

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы

Как искусственный интеллект меняет банковскую систему РФ

Как проходит цифровая трансформация отечественного госсектора

Процесс замены иностранного софта близится к завершению – и это вызов

Почему отраслевые облачные платформы экономят время и деньги компаний

Настоящее и будущее искусственного интеллекта в управлении

Насколько эффективной будет маркировка синтезированного нейросетью контента

Каковы перспективы трансфера технологий госуправления в другие страны

К чему приведет новый всплеск интереса к метавселенным

Что мешает отечественным разработчикам цифровых решений

Каким должен быть современный продакт-менеджмент в мире облачных технологий

Безопасная разработка софта и как она помогает бизнесу сэкономить деньги

Как ИТ-технологии меняют логистические процессы

Какие специальности в ИИ-индустрии будут востребованы в 2024 году