Мнение ФСТЭК про импортозамещение + Видео

Мнение ФСТЭК про импортозамещение + Видео
На прошлой неделе я посетил конференцию InfosecurityRussia 2015, на которой ФСТЭК России в лице Лютикова Виталия Сергеевича представляла свое видение проблем и вопросов импортозамещения.
"Задача ФСТЭК России помочь коллегам (Минкомсвязь России) учесть специфику обеспечения информационной безопасности при решении задач импортозамещения."
ОБЩЕЕ СОСТОЯНИЕ (качественно-количественная оценка СЗИ, проходящих сертификацию у службы)
Сейчас обладают сертификатами и российские и иностранные СЗИ (примерно 50 на 50), но внедрены в органах госвласти преимущественно российские.
Наблюдается тенденция снижения количество выдаваемых новых сертификатов. Ожидается, что в 2015 году не будет достигнут показатель 2014го.

Почти все классы средств СЗИ производятся российскими разработчиками:
Цифры интересны и местами неожиданные, я, например не смог насчитать 11 DLP.

ПРОБЛЕМЫ ИМПОРТОЗАМЕЩЕНИЯ
1.Продвижение российскими разработчиками импортных СЗИ
Во ФСТЭК России считают, что компаниям обладающим потенциалом собственной разработки, не следует распылять силы на продвижение иностранных решений.

2.Бесконтрольное применение программного обеспечения с открытым исходным кодом
Коллеги из ФСТЭК России наблюдают ажиотаж вокруг применения СПО и понимают, что СПО снимает определенные экономические издержки. Однако считают, что количество выявленных уязвимостей в ПО с открытым кодом гораздо больше, чем в лицензируемом. 
ФСТЭК России напоминает, что как только вы меняет собранный продукт, то он теряет сертификат соответствия. И нельзя просто скачать отдельные блоки кода из репозиториев, пусть и доверенных, совместить их и получить безопасный продукт.
Также компании, разрабатывающие такого рода продукты, должны обладать компетенциями устранять уязвимости и ошибки в заимствованных участках кода и оказывать необходимую поддержку. 

3.Разработка прикладного ПО на базе импортного общесистемного ПО
Одной из проблем во ФСТЭК России считают использование (пусть даже и сертифицированного ПО), установленного на устаревших платформах (например, Windows XP).

4. Отсутствие поддержки СЗИ
Это, пожалуй, основная проблема. Про нее говорили больше всего. ФСТЭК России считает, что сертифицированные решения должны, при необходимости, обновляться для устранения уязвимостей.
Проблема в том, что заявители зачастую не отвечают за обновление ПО (особенно для иностранного ПО) и, в случае выявления критичных уязвимостей, не могут их устранить. Лютиков упомянул даже, что сейчас может создаться первый прецедент с отзывом сертификата, т.к. производитель не устраняет уязвимость...

Мнение ФСТЭК России предельно просто: "Если в продукте есть уязвимость, то это значит что задекларированные функции безопасности не выполняются."

5. Отсутствие процедур безопасной разработки СЗИ российского производства
Это практически в продолжение предыдущей проблемы. ФСТЭК России хочет, чтобы разрабатывалось безопасное ПО. Для этого даже подготовили стандарт по безопасной разработке (рекомендательный, в будущем планируют сделать обязательным). 
Очень рекомендуют российским производителям начинать внедрять процедуры безопасной разработки.


Это я кратко выписал основные моменты, но если хотите, то можете посмотреть полную запись выступления Лютикова. В ней помимо этого есть, например, еще немного и про планы по разработке документов:


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!

Andrey Prozorov

Информационная безопасность в России и мире