Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость

18.04.2019

Вернуться к списку новостей

Федеральная служба по техническому и экономическому контролю выдвинула новые требования к разработчикам программного обеспечения. По ним средства защиты информации должны быть испытаны на выявление уязвимостей и недекларированных возможностей («закладок», «бэкдоров») в соответствии с методикой, разработанной и утвержденной ФСТЭК в феврале 2019 г.

Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев:

– Меня удивило, что вендоры к инициативе отнеслись, мягко говоря, прохладно. Да, изменения сильно усложняют жизнь разработчикам. Из критики, которую встречал, что соответствие новым требованиям потребует от отечественных вендоров дополнительных инвестиций и существенно снизит присутствие импортных ИБ-продуктов в госсекторе.

Но как по мне все эти аргументы несостоятельны. Требования вступают в силу с 1 июня 2019 года, но многие серьезные вендоры изначально их выполняют при разработке ПО.

Какова исходная ситуация? Сертификация ФСТЭК – долгое и ресурсоемкое мероприятие. Но главная системная проблема была в том, что на экспертизу отправляется конкретная версия – состояние продукта на день получения заветного документа. Завтра ты внес изменение, улучшил ПО, добавил функцию – и должен, по идее, проходить всю процедуру заново. Если ты хочешь всегда продавать сертифицированную версию, ты должен либо бесконечно крутиться в этой карусели, либо не выпускать обновления во время действия сертификата. В IТ, все понимают, такое вообще не работает. В реальном мире нельзя использовать версию софта три года. Никто так и не делает. Получается, что подтверждение соответствия от ФСТЭК оказывается номинальным документом и не всегда является гарантией качества ПО. 

После изменений сертификат ФСТЭК будет реально гарантировать безопасность продукта, т.к. с июня ужесточаются требования именно к процессу разработки. Это значит, что продукт должен быть безопасным не только в моменте. Он требует, чтобы весь процесс был организован безопасно.

С сотрудниками должны быть подписаны все регламенты о порядке действий в случае обнаружения проблем, о порядке действий в случае обнаружения потенциальных уязвимостей, о порядке работы с заказчиками и в случае обнаружения уязвимостей ими. Должен проводиться статический, динамический анализ кода, использоваться софт для контроля версий, единые замкнутые среды компиляции и т.д. Новые требования предполагают, что вредоносный код будет невозможно внести на уровне процесса даже умышленно. В общем, это логичные и понятные требования – вплоть до того, что в здании должен находиться охранник.

Другими словами, серьезные вендоры именно так и работают. Требования адекватны и выполнимы. Более того, странно слышать критику от разработчиков средств для защиты информации. Говорят, что потребуются инвестиции – этот аргумент мне кажется несостоятельным. Какие могут быть дополнительные инвестиции, когда все изначально должно быть реализовано именно так?!

Почему вендоры против? Потому что им усложнили процедуру. Реализация требований – серьезная работа. Услуги по сертификации небесплатные, напоминают они, и компании могут потратить деньги впустую, оказаться без сертификатов. Это да. С другой стороны – сертификат без причины отзывать никто не будет, это тоже нужно учитывать.

Многие разработчики станут придерживаться более стандартизованного процесса разработки, перестанут необдуманно использовать сомнительные сторонние библиотеки, будут тщательней следить за безопасностью собственного кода. Новые требования дают ФСТЭКу как органу гораздо больше уважения со стороны сообщества. Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость.

Подпишитесь на Telegram-канал «СёрчИнформ», чтобы получать еще больше новостей и мнений! 

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними