Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость

18.04.2019

Вернуться к списку статей

Федеральная служба по техническому и экономическому контролю выдвинула новые требования к разработчикам программного обеспечения. По ним средства защиты информации должны быть испытаны на выявление уязвимостей и недекларированных возможностей («закладок», «бэкдоров») в соответствии с методикой, разработанной и утвержденной ФСТЭК в феврале 2019 г.

Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев:

– Меня удивило, что вендоры к инициативе отнеслись, мягко говоря, прохладно. Да, изменения сильно усложняют жизнь разработчикам. Из критики, которую встречал, что соответствие новым требованиям потребует от отечественных вендоров дополнительных инвестиций и существенно снизит присутствие импортных ИБ-продуктов в госсекторе.

Но как по мне все эти аргументы несостоятельны. Требования вступают в силу с 1 июня 2019 года, но многие серьезные вендоры изначально их выполняют при разработке ПО.

Какова исходная ситуация? Сертификация ФСТЭК – долгое и ресурсоемкое мероприятие. Но главная системная проблема была в том, что на экспертизу отправляется конкретная версия – состояние продукта на день получения заветного документа. Завтра ты внес изменение, улучшил ПО, добавил функцию – и должен, по идее, проходить всю процедуру заново. Если ты хочешь всегда продавать сертифицированную версию, ты должен либо бесконечно крутиться в этой карусели, либо не выпускать обновления во время действия сертификата. В IТ, все понимают, такое вообще не работает. В реальном мире нельзя использовать версию софта три года. Никто так и не делает. Получается, что подтверждение соответствия от ФСТЭК оказывается номинальным документом и не всегда является гарантией качества ПО. 

После изменений сертификат ФСТЭК будет реально гарантировать безопасность продукта, т.к. с июня ужесточаются требования именно к процессу разработки. Это значит, что продукт должен быть безопасным не только в моменте. Он требует, чтобы весь процесс был организован безопасно.

С сотрудниками должны быть подписаны все регламенты о порядке действий в случае обнаружения проблем, о порядке действий в случае обнаружения потенциальных уязвимостей, о порядке работы с заказчиками и в случае обнаружения уязвимостей ими. Должен проводиться статический, динамический анализ кода, использоваться софт для контроля версий, единые замкнутые среды компиляции и т.д. Новые требования предполагают, что вредоносный код будет невозможно внести на уровне процесса даже умышленно. В общем, это логичные и понятные требования – вплоть до того, что в здании должен находиться охранник.

Попробовать бесплатно продукты «СёрчИнформ»

 

Другими словами, серьезные вендоры именно так и работают. Требования адекватны и выполнимы. Более того, странно слышать критику от разработчиков средств для защиты информации. Говорят, что потребуются инвестиции – этот аргумент мне кажется несостоятельным. Какие могут быть дополнительные инвестиции, когда все изначально должно быть реализовано именно так?!

Почему вендоры против? Потому что им усложнили процедуру. Реализация требований – серьезная работа. Услуги по сертификации небесплатные, напоминают они, и компании могут потратить деньги впустую, оказаться без сертификатов. Это да. С другой стороны – сертификат без причины отзывать никто не будет, это тоже нужно учитывать.

Многие разработчики станут придерживаться более стандартизованного процесса разработки, перестанут необдуманно использовать сомнительные сторонние библиотеки, будут тщательней следить за безопасностью собственного кода. Новые требования дают ФСТЭКу как органу гораздо больше уважения со стороны сообщества. Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость.

Подпишитесь на Telegram-канал «СёрчИнформ», чтобы получать еще больше новостей и мнений! 


Законодательство Алексей Парфентьев


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика). Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.