Федеральная служба по техническому и экспортному контролю (ФСТЭК) представила требования к разработке программного обеспечения и средствам защиты информации. Обновленные предписания распространяются на межсетевые экраны, антивирусы, защищенные ОС, программы защиты от утечки информации и ПО в сфере борьбы со спамом и защиты трафика.
Предполагается, что требования вступят в силу уже 1 июля текущего года. Производители и разработчики будут обязаны до конца 2019 года провести испытания своих продуктов (посредством лабораторий ФСТЭК) на предмет соответствия новым предписаниям и выявления недекларированных возможностей, а также уязвимостей. В случае отказа или опоздания с тестированием действие сертификатов может быть приостановлено.
Участники рынка прогнозируют, что реализация требований повлечет за собой существенные растраты на прохождение сертификации. Более того, это может привести к сокращению зарубежных поставщиков софта в отечественном госсекторе, пишет «Ъ».
Аналитики указывают на то, что крупные игроки рынка вряд ли предоставят для испытания исходный код, ввиду конфиденциальности информации. Посему количество иностранных компаний, предоставляющих софт для российских госорганов, может сократиться. С другой стороны, такая ситуация на руку отечественным разработчикам, поскольку это шанс для них начать работу в госсекторе.
Как Вы оцениваете новые требования к средствам защиты информации?
Не стоит переживать за иностранных поставщиков. Они прекрасно отдают себе отчёт по рискам работы с юрисдикциями, применяющими неэффективное или устаревшее регулирование. Большинство таких вендоров уже давно не рассматривают российский госсектор как целевой рынок. При этом они же спокойно продолжают продавать передовые программные решения, не имеющие российских аналогов.
Перечисленные в требованиях средства защиты информации, по мнению создателя рынка антивирусного ПО Джона Макафи, не эффективны в современных условиях. Современная кибербезопасность обеспечивается в первую очередь правильным информационным дизайном. ФСТЭК же продолжает создавать себе и поставщикам решений дополнительную работу, попутно способствуя монополизации соответствующего рынка.
Дополнительные затраты на «перевооружение» с помощью российских аналогов базового ПО информационной безопасности не выглядят целесообразной статьёй бюджета с точки зрения любого бизнеса. Поэтому госкорпорации продолжат использовать зарубежное программное обеспечение до тех пор, пока на это не будет введён прямой законодательный запрет.
Как Вы оцениваете новые требования к средствам защиты информации?
Новые требования вытекают из последовательного эволюционного пути развития системы регулирования, проводимого ФСТЭК России.
Приказ ФСТЭК России №131 от 30.07.2018 «Об утверждении Требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» подробно обсуждался в феврале 2019 г. на конференции в рамках выставки «Технологии безопасности». В первой части документа четко очерчено, что «Требования доверия устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа».
Поэтому говорить, что «требования к софту в сфере кибербезопасности» некорректно с двух позиций.
Первая: уважаемые коллеги, никто не заставляет вас сертифицировать ваши решения по новым требованиям. Приказ 131 касается только тех разработчиков, кто хочет с помощью своих решений защищать информацию ограниченного доступа и гостайну. К тому же, необходимость предоставления в испытательную лабораторию исходных кодов была и раньше для всех СЗИ, начиная с третьего уровня НДВ. Применяемый подход к сертификации раньше был размыт - грубо, это звучало так: «недекларированных возможностей в результате испытаний вашего СЗИ не выявлено». Теперь вводятся уровни доверия, что более понятно потребителям особенно тем, кто строит доверенные (безопасные) системы. Шестой уровень доверия – самый низкий, самый высокий – первый. Уровням доверия поставлены в соответствие определённые классы защиты СЗИ, категории значимых объектов КИИ, классы ГИС, АСУТП, ИСОП и уровни ИСПДн. Кстати, СЗИ, которые сертифицированы на профили защиты (а это практически все последние опубликованные на сайте www.fstec.ru сертификаты, для которых профили есть) будут соответствовать большинству новых требований и для них необходимо выполнить только оценку соответствия новым требованиям: «Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия».
Вторая позиция. Почему речь идет только о кибербезопасности? Только потому, что эта тема сейчас в моде? Известно, что к кибербезопасности относятся только внешние угрозы и их реализации. В то же время основные утечки конфиденциальной информации происходят изнутри. Поэтому более корректно говорить о защите информации ограниченного доступа.
Отвечая на поставленный вопрос, я приветствую рассматриваемый приказ как логическое продолжение развития и модернизации нормативной базы, которое последовательно проводит ФСТЭК России.
Как Вы оцениваете новые требования к средствам защиты информации?
В России идет кампания защиты государства в области кибербезопасности в сложившейся международной обстановке. Что касается политизированных инициатив, генерируемых нашими законотворцами, — импортозамещение, защита государственных информационных ресурсов, — их принятие неизбежно. Открытый вопрос — как это будет осуществляться? Мы с тревогой смотрим на принятые законы по суверенному интернету, закон «Яровой». Ограничительные меры в высокотехнологичных областях нередко приводят к сбою. Особенно, если делаются не совсем умелыми руками.