2024/06/03 17:29:45

Сертификация ФСТЭК


Содержание

Основная статья: ФСТЭК

Хроника

2024: ФСТЭК упростила сертификацию систем киберзащиты

С 1 июня 2024 года в России вступил в силу новый порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством РФ.

В приказе ФСТЭК среди прочего определены перечень сведений, указываемых разработчика софта в заявке на сертификацию, порядок ее рассмотрения ведомством, процедура проведения сертификации, порядок оформления экспертного заключения о соответствии (несоответствии) реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке. Сертификат соответствия выдается на срок, указанный в заявке, но не более чем на пять лет.

С 1 июня 2024 года в России вступил в силу новый порядок проведения сертификации процессов безопасной разработки программного обеспечения

Как уточнил «Ведомостям» директор по развитию бизнеса Cloud.ru Михаил Лобоцкий, нововведения помогут сократить процесс сертификации. Прежде для нового продукта он занимал минимум год, для повторной сертификации каждого обновления нужно минимум полгода.

«
Этот процесс выглядит так: примерно год уходит на работу заявителя с испытательной лабораторией и органом по сертификации, после чего вместе с документами это передается во ФСТЭК. Суть изменений заключается в том, что ФСТЭК будет сертифицировать конвейер безопасной разработки продуктов компании. Т.е. имея на руках сертификат на процесс разработки, обновлять ранее сертифицированный софт будет в разы проще, дешевле и быстрее, – поясняет Лобоцкий.
»

Таким образом процесс пересертификации сократится до нескольких месяцев за счет отсутствия третьих организаций при проверках обновленного ПО, добавил он.ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября

По словам директора по клиентской безопасности Selectel Дениса Полянского, ФСТЭК пересмотрел ГОСТ, который регламентирует процессы безопасной разработки, т. е. предотвращения возникновения уязвимостей в ходе создания решения.[1]

2022: Остановка действия сертификатов на ПО IBM, Microsoft, Oracle, SAP и VMware

Как стало известно в конце марта 2022 года, Федеральная служба по техническому и экспортному контролю (ФСТЭК) приостановила действие сертификатов на программное обеспечение IBM, Microsoft, Oracle, SAP, VMware и ряда других зарубежных производителей. Всего к 25 марта заморожено 56 сертификатов.

Как пишет «Коммерсантъ», ФСТЭК начала временно останавливать действие сертификатов на программные продукты тех иностранных компаний, которые объявили об уходе с российского рынка. Если ушедшие из РФ зарубежные компании не возобновят техподдержку своих продуктов в течение 90 дней со дня приостановки сертификатов, их действие будет прекращено, пояснил «Коммерсанту» руководитель отдела консалтинга и аудита информационной безопасности Step Logic Денис Пащенко.

ФСТЭК остановила действие сертификатов на ПО IBM, Microsoft, Oracle, SAP и VMware

Источник издания пояснил, что ФСТЭК запросила у зарубежных компаний пояснения относительно техподдержки уже работающих решений. По его мнению, клиентам, использующим подобное иностранное ПО, уже лучше начать поиск сертифицированных альтернатив и задумываться о необходимости перехода на них, включая переаттестацию своих систем информационной безопасности.

Несмотря на требования по использованию сертифицированного ПО, многие компании и банки пока продолжают работу на зарубежных продуктах, которым ФСТЭК приостановила лицензии, говорит руководитель направления информационной безопасности Itglobal.com Александр Зубриков.

По словам источника газеты на ИТ-рынке, к концу марта 2022 года регулятор не называет точные сроки, когда заказчики должны будут заменить несертифицированные продукты в своих ИТ-системах. Более того, в силу вступивших в силу послаблений в части проверок выявить факт использования несертифицированного решения регулятор может не скоро, допустил собеседник.[2]

2019: Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость

Федеральная служба по техническому и экономическому контролю (ФСТЭК) выдвинула новые требования к разработчикам программного обеспечения. По ним средства защиты информации должны быть испытаны на выявление уязвимостей и недекларированных возможностей («закладок», «бэкдоров») в соответствии с методикой, разработанной и утвержденной ФСТЭК в феврале 2019 г.

ФСТЭК ужесточила требования к разработчикам ИБ-продуктов

Вендоры к инициативе отнеслись прохладно[3]. Соответствие новым требованиям потребует от них дополнительных инвестиций и существенно снизит присутствие импортных ИБ-продуктов в госсекторе.

Однако эти аргументы несостоятельны, считает руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. По его словам, требования вступают в силу с 1 июня 2019 года, но многие серьезные вендоры изначально их выполняют при разработке ПО.

Какова исходная ситуация? Сертификация ФСТЭК – долгое и ресурсоемкое мероприятие. Но главная системная проблема была в том, что на экспертизу отправляется конкретная версия – состояние продукта на день получения заветного документа.

«
Завтра ты внес изменение, улучшил ПО, добавил функцию – и должен, по идее, проходить всю процедуру заново. Если ты хочешь всегда продавать сертифицированную версию, ты должен либо бесконечно крутиться в этой карусели, либо не выпускать обновления во время действия сертификата. В ИТ, все понимают, такое вообще не работает. В реальном мире нельзя использовать версию софта 3 года. Никто так и не делает. Получается, что подтверждение соответствия от ФСТЭК оказывается номинальным документом и не всегда является гарантией качества ПО, - поясняет Парфентьев.
»

После изменений сертификат ФСТЭК будет реально гарантировать безопасность продукта, т.к. ужесточаются требования именно к процессу разработки. Это значит, что продукт должен быть безопасным не только в моменте. Он требует, чтобы весь процесс был организован безопасно.

С сотрудниками должны быть подписаны все регламенты о порядке действий в случае обнаружения проблем, о порядке действий в случае обнаружения потенциальных уязвимостей, о порядке работы с заказчиками и в случае обнаружения уязвимостей ими. Должен проводиться статический, динамический анализ кода, использоваться софт для контроля версий, единые замкнутые среды компиляции и т.д. Новые требования предполагают, что вредоносный код будет невозможно внести на уровне процесса даже умышленно.

«
В общем, это логичные и понятные требования, - считает представитель «СёрчИнформ». - Другими словами, серьезные вендоры именно так и работают. Требования адекватны и выполнимы. Более того, странно слышать критику от разработчиков средств для защиты информации о том, что потребуются инвестиции. Какие могут быть дополнительные инвестиции, когда все изначально должно быть реализовано именно так?!
»

По мнению Алексея Парфентьева, вендоры выступают против, потому что им усложнили процедуру. Реализация требований – серьезная работа. Услуги по сертификации не бесплатные, напоминают они, и компании могут потратить деньги впустую, оказаться без сертификатов. С другой стороны – сертификат без причины отзывать никто не будет, это тоже нужно учитывать.

Многие компании, считает он, станут придерживаться более стандартизованного процесса разработки, перестанут необдуманно использовать сомнительные сторонние библиотеки, будут тщательней следить за безопасностью собственного кода. Новые требования дают ФСТЭКу как органу гораздо больше уважения со стороны сообщества. Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость, уверен Парфентьев.

«
Изменения по большей части касаются разработчиков ИБ-средств, создающих СЗИ. В остальном требования ФСТЭК проходят и другие продукты, например, базы данных, операционные системы, среды виртуализации и т.д. Просто к ним применяются более мягкие условия, т.к. непосредственно защитой они не занимаются, - пояснил TAdviser представитель «СёрчИнформ».
»

Примечания