Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»

Федеральная служба технического и экспортного контроля (ФСТЭК) опубликовала приказ об изменении сертификации средств защиты информации (СЗИ). Это те изменения, о которых ИБ-эксперты (в том числе мы в компании) давно добивались. Теперь новые продукты и обновления будут гораздо быстрее обзаводиться сертификатами, без которых их применять нельзя. 

Сертификация ПО – дело важное. Без нее пользователь не может быть уверен в безопасности софта. Во время сертификации ФСТЭК программное обеспечение проходит многочисленные тесты, исходный код проверяют на незадекларированные возможности. Так же под проверку попадают внутренние процессы разработчика, к ним так же применимы административно-технические требования по безопасности. Т.е., если у ПО есть сертификат ФСТЭК, можно быть уверенными, что софт делает ровно то, что обещает, и в нем не заложено никаких шпионских функций.
 
Многие отечественные заказчики не имеют права использовать несертифицированное ПО. Закон требует этого, например, от субъектов критической инфраструктуры, государственных организаций, любых организаций, которые обрабатывают персональные данные. Получение сертификата ФСТЭК также является обязательным требованием для внесения программного обеспечения в Реестр отечественного ПО.
 
Сертификат должна получать не только новая разработка, но и любое обновление ПО, которое вносит вендор. То есть когда вендор выпускает в релиз изменения, заказчик не имеет право им пользоваться до момента новой сертификации. 
 
В случае с ИБ-программами это проблема. Процесс получения сертификатов состоит из 5 этапов. Сроки каждого из этапов:

  1) рассмотрение заявки – до 1 месяца
  2) рассмотрение программы и методики сертификационных испытаний – до 1 месяца
  3) рассмотрение материалов по сертификации СЗИ – до 45 дней 
  4) испытание софта в лаборатории и устранение недостатков (при их выявлении) – до 90 дней
  5) повторные испытания при выявлении недостатков. 
 
Вендор на эти сроки никак не мог повлиять, даже если обновление небольшое. При этом обновления ИБ-программ – дело частое, «минорные» должны выходить едва ли не каждый день (по мере появления новых угроз, появления Zero-day уязвимостей). Возникала проблема – заказчик был вынужден либо пользоваться несертифицированным ПО, нарушая правила, либо в ожидании прохождения сертификации оставаться незащищенным.
 
Что сейчас? По новому приказу ФСТЭК сроки получения сертификата сокращены по каждому из этапов на треть или вдвое. Теперь процесс будет длиться не полгода, а гораздо меньше. 
 
Но еще важнее другое изменение, которое узаконил ФСТЭК – возможность вендоров самостоятельно проверять разрабатываемый софт на безопасность. Даже для тех случаев, когда затронуты функции безопасности. Это значит, что не нужно будет ждать, когда критически важные обновления софта будут проверены сертификационной лабораторией и переданы во ФСТЭК. Вендор проверит их самостоятельно и сможет выпустить релиз. 
 
При этом при выводе нового продукта или по окончании действия сертификатов все проверки будут проходить как прежде – в полном объеме. Изменения, принятые ФСТЭК, помогут заказчикам полноценно защищать себя от ИБ-угроз и не нарушать регламенты.