Разработчиков операционных систем и решений по информационной безопасности избавят от необходимости проходить повторную аттестацию Федеральной службы по техническому и экспортному контролю (ФСТЭК) при выпуске обновлений уже аттестованных продуктов, сообщает газета «Ведомости».
Об этом на форуме «Телеком 2024» заявил директор по развитию бизнеса Cloud.ru Михаил Лобоцкий. По его словам, до конца 2024 года ФСТЭК собирается упростить процедуру сертификации софта. Изменения, которые служба планирует внести в процесс проверки, позволят сделать аттестацию быстрее.
Лобоцкий отметил, что при нынешних нормативах процесс аттестации нового продукта занимает минимум год, а пересертификации при выпуске обновлений — минимум полгода. Сейчас на тестирование уязвимостей в испытательной лаборатории дают год, после чего вместе с документами результаты этого тестированию передают ФСТЭК. После внесения изменений ФСТЭК будет аттестовать уже не готовый продукт, а процесс его разработки, в результате чего планируется сократить сроки аттестации до нескольких месяцев, говорит директор Cloud.ru.
Заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков пояснил, что в нынешней конфигурации законодательного поля любые изменения в программном коде софта требуют провести сертификацию заново, а это может занимать месяцы. По закону разработчикам приходится ждать сертификации, оставляя информационную систему без защиты — либо же они могут обновить софт, но стать нарушителями с точки зрения закона.
Сейчас изменения порядка сертификации обсуждает технический комитет по стандартизации «Защита информации» при ФСТЭК, утверждает директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи Сергей Демидов. Служба пересматривает ГОСТ, в котором содержатся эти требования к процессам безопасной разработки. В случае принятия изменений разработчики софта смогут сертифицировать сам процесс, и во многих случаях выпускать новые версии без участия аккредитованных лабораторий.
