Фото: Дмитрий Коротаев / Коммерсантъ
Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила обновленные требования к программному обеспечению из сферы информационной безопасности. Так, разработчики и производители антивирусов, файерволлов и другого ПО должны до конца года провести испытания по выявлению уязвимостей и недекларированных возможностей.
Участники рынка считают, что эти меры приведут к повышению затрат на прохождение сертификации и к дальнейшему сокращению числа иностранных поставщиков в российском госсекторе.
Что касается самого ПО, то ФСТЭК требует соответствия новым правилам широкого спектра программных продуктов, включая антивирусы, межсетевые экраны, софт в сфере борьбы со спамом и защиты веб-трафика, системы защиты от утечек информации и защищенные операционные системы.
Требования регулятора вступают в силу с 1 июня 2019 года. Разработчики ПО, которое подлежит анализу должны сотрудничать с представителями испытательных лабораторий ФСТЭК, проведя оценку соответствия своих продуктов новым требованиям. Также им нужно провести испытания по выявлению уязвимостей и недекларированных возможностей до 1 января 2020 года. В противном случае действие сертификатов будет приостановлено.
По мнению представителей рынка, прежний руководящий документ, который регулирует софт указанных видов уже устарел. Но вот реализация нового может привести к появлению новых проблем. «Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах СЗИ в какой-то момент могут оказаться без действующих сертификатов»,— заявил в комментарии «Коммерсанту» один из участников рынка.
С этим мнением согласен и главный конструктор Astra Linux Юрий Соснин: «Реализация новых требований — достаточно серьезная работа: анализ, разработка продукта, его непрерывное сопровождение и устранение недостатков». В то же время ужесточение требований позволит отсеять недобросовестных участников рынка, считает он.
Стоит отметить, что основные проблемы возникнут не у отечественных, а зарубежных разработчиков. Дело в том, что одно из главных требований проверки недекларируемых возможностей — передача исходного кода решений. Для того разработчики должны описать каждую функцию и механизм работы. Для крупных разработчиков ситуация, в которой они открывают исходный код своих программных продуктов в большинстве случаев невозможна. Поэтому уже в ближайшее время объем закупаемых отечественными органами иностранных средств защиты будет снижен.
Кроме того, предоставление исходных кодов с определенного времени запрещается законодательством ряда стран, поэтому иностранные производители вряд ли смогут пройти сертификацию. А это обязательно для компаний, которые желают работать с госорганами и госкомпаниями. Для поставщиков антивирусного ПО это важно, поскольку до половины всего рынка информационной безопасности в РФ приходится на госорганы и государственные корпорации. До недавнего времени этот рынок занимали решения зарубежных компаний, сейчас же ситуация может измениться.
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
- Не пишите оскорбительных комментариев, не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
- Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.
Что делать, если: минусуют карму | заблокировали аккаунт
→ Кодекс авторов Хабра и хабраэтикет
→ Полная версия правил сайта
