IT / Новости
госрегулирование информбезопасность персональные данные ПО технологии
20.9.2019

Госорганы усложнили правила сертификации для IT-компаний

Новые требования обязывают разработчиков с 1 января 2020 года предоставлять исходный код продукта.

Ряд компаний, в числе которых «Новые облачные технологии» (НОТ) и «Лаборатория Касперского», могут не успеть обновить сертификат на средства защиты информации к этому сроку, рассказали РБК несколько источников на IT-рынке.

О возможной приостановке действия таких сертификатов с 1 января будущего года, если разработчики и производители не проведут переоценку их соответствия уровням доверия, Федеральная служба по техническому и экспортному контролю (ФСТЭК) заявляла еще весной. Не прошедшие новую сертификацию средства защиты информации нельзя будет применять в государственных информационных системах и хранилищах персональных данных.

Однако переоценка должна проводиться в соответствии с новыми критериями от 1 июня 2019 года, которые стали гораздо жестче, рассказали собеседники издания. Они предусматривают полный доступ к исходному коду продукта для проверки на предмет наличия недекларированных возможностей (так называемые закладки или скрытые функции, которые, например, приводят к нарушению конфиденциальности).

«Чтобы начать процесс сертификации, любой вендор должен будет предоставить для анализа исходный код своих продуктов, но не все могут себе это позволить в связи с собственными политиками безопасности», – отметила руководитель группы сертификации «Лаборатории Касперского» Карина Нападовская.

На данный момент в реестре сертифицированных средств защиты информации более 4,1 тыс. наименований, но лишь 36 сертификатов были выданы после 1 июня. Но, по словам руководителя службы информбезопасности НОТ Александра Буравцова, на данный момент в реестре нет средств, сертифицированных по новым правилам. «С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет», – пояснил эксперт.

«Те компании, которые только сейчас задумываются о том, что необходимо обновлять сертификат, скорее всего, не успеют к 1 января. В этом случае ФСТЭК придется либо продлевать сроки действия старых сертификатов, либо отзывать их», — указал независимый эксперт в сфере информационной безопасности Алексей Лукацкий.

Еще одной проблемой является то, что сертификат может получить только российское юрлицо (разработчик, заказчик, «дочка» вендора, дистрибьютор и т.д.), но раскрыть исходный код невозможно без участия или разрешения разработчика этого ПО. При этом для некоторых компаний из США действует прямой запрет на предоставление кода, пояснили эксперты.

Изображение: Freepik.com

Еще по теме

Как научить ребенка безопасно пользоваться интернетом

Когда защиту IT-инфраструктуры можно доверить профессионалам на аутсорсинге

Что нового в разработке открытого программного обеспечения

Как создать независимую целевую IT-платформу

Зачем IT-разработчикам устраивать состязания и объединения

Почему клиенты ненавидят роботов-операторов и возможна ли идеальная автоматизация

Бизнес быстро адаптируется к новым условиям доставки и стоимости IT-оборудования

Как удержать IT-специалистов в российских компаниях

Как защитить важную инфраструктуру от вирусных атак

Промышленные предприятия индустрии ТЭК держат курс на технологический суверенитет

Тренды подготовки бакалавров в области информбезопасности

Мировые и российские тренды применения программ-вымогателей

Какие инструменты наиболее эффективно анализируют цифровую инфраструктуру

Финансирование общественно значимых проектов на онлайн-платформах набирает обороты в России и в мире

Как изменится экспорт российского ПО?