Госорганы усложнили правила сертификации для IT-компаний

Новые требования обязывают разработчиков с 1 января 2020 года предоставлять исходный код продукта.

Ряд компаний, в числе которых «Новые облачные технологии» (НОТ) и «Лаборатория Касперского», могут не успеть обновить сертификат на средства защиты информации к этому сроку, рассказали РБК несколько источников на IT-рынке.

О возможной приостановке действия таких сертификатов с 1 января будущего года, если разработчики и производители не проведут переоценку их соответствия уровням доверия, Федеральная служба по техническому и экспортному контролю (ФСТЭК) заявляла еще весной. Не прошедшие новую сертификацию средства защиты информации нельзя будет применять в государственных информационных системах и хранилищах персональных данных.

Однако переоценка должна проводиться в соответствии с новыми критериями от 1 июня 2019 года, которые стали гораздо жестче, рассказали собеседники издания. Они предусматривают полный доступ к исходному коду продукта для проверки на предмет наличия недекларированных возможностей (так называемые закладки или скрытые функции, которые, например, приводят к нарушению конфиденциальности).

«Чтобы начать процесс сертификации, любой вендор должен будет предоставить для анализа исходный код своих продуктов, но не все могут себе это позволить в связи с собственными политиками безопасности», – отметила руководитель группы сертификации «Лаборатории Касперского» Карина Нападовская.

На данный момент в реестре сертифицированных средств защиты информации более 4,1 тыс. наименований, но лишь 36 сертификатов были выданы после 1 июня. Но, по словам руководителя службы информбезопасности НОТ Александра Буравцова, на данный момент в реестре нет средств, сертифицированных по новым правилам. «С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет», – пояснил эксперт.

«Те компании, которые только сейчас задумываются о том, что необходимо обновлять сертификат, скорее всего, не успеют к 1 января. В этом случае ФСТЭК придется либо продлевать сроки действия старых сертификатов, либо отзывать их», — указал независимый эксперт в сфере информационной безопасности Алексей Лукацкий.

Еще одной проблемой является то, что сертификат может получить только российское юрлицо (разработчик, заказчик, «дочка» вендора, дистрибьютор и т.д.), но раскрыть исходный код невозможно без участия или разрешения разработчика этого ПО. При этом для некоторых компаний из США действует прямой запрет на предоставление кода, пояснили эксперты.

Изображение: Freepik.com