На прошлой неделе я посетил конференцию InfosecurityRussia 2015, на которой ФСТЭК России в лице Лютикова Виталия Сергеевича представляла свое видение проблем и вопросов импортозамещения.
"Задача ФСТЭК России помочь коллегам (Минкомсвязь России) учесть специфику обеспечения информационной безопасности при решении задач импортозамещения."
ОБЩЕЕ СОСТОЯНИЕ (качественно-количественная оценка СЗИ, проходящих сертификацию у службы)
Сейчас обладают сертификатами и российские и иностранные СЗИ (примерно 50 на 50), но внедрены в органах госвласти преимущественно российские.
Наблюдается тенденция снижения количество выдаваемых новых сертификатов. Ожидается, что в 2015 году не будет достигнут показатель 2014го.
Почти все классы средств СЗИ производятся российскими разработчиками:
Цифры интересны и местами неожиданные, я, например не смог насчитать 11 DLP.
ПРОБЛЕМЫ ИМПОРТОЗАМЕЩЕНИЯ
1.Продвижение российскими разработчиками импортных СЗИ
Во ФСТЭК России считают, что компаниям обладающим потенциалом собственной разработки, не следует распылять силы на продвижение иностранных решений.
2.Бесконтрольное применение программного обеспечения с открытым исходным кодом
Коллеги из ФСТЭК России наблюдают ажиотаж вокруг применения СПО и понимают, что СПО снимает определенные экономические издержки. Однако считают, что количество выявленных уязвимостей в ПО с открытым кодом гораздо больше, чем в лицензируемом.
ФСТЭК России напоминает, что как только вы меняет собранный продукт, то он теряет сертификат соответствия. И нельзя просто скачать отдельные блоки кода из репозиториев, пусть и доверенных, совместить их и получить безопасный продукт.
Также компании, разрабатывающие такого рода продукты, должны обладать компетенциями устранять уязвимости и ошибки в заимствованных участках кода и оказывать необходимую поддержку.
Одной из проблем во ФСТЭК России считают использование (пусть даже и сертифицированного ПО), установленного на устаревших платформах (например, Windows XP).
4. Отсутствие поддержки СЗИ
Это, пожалуй, основная проблема. Про нее говорили больше всего. ФСТЭК России считает, что сертифицированные решения должны, при необходимости, обновляться для устранения уязвимостей.
Проблема в том, что заявители зачастую не отвечают за обновление ПО (особенно для иностранного ПО) и, в случае выявления критичных уязвимостей, не могут их устранить. Лютиков упомянул даже, что сейчас может создаться первый прецедент с отзывом сертификата, т.к. производитель не устраняет уязвимость...
Мнение ФСТЭК России предельно просто: "Если в продукте есть уязвимость, то это значит что задекларированные функции безопасности не выполняются."
5. Отсутствие процедур безопасной разработки СЗИ российского производства
Это практически в продолжение предыдущей проблемы. ФСТЭК России хочет, чтобы разрабатывалось безопасное ПО. Для этого даже подготовили стандарт по безопасной разработке (рекомендательный, в будущем планируют сделать обязательным).
Очень рекомендуют российским производителям начинать внедрять процедуры безопасной разработки.
Это я кратко выписал основные моменты, но если хотите, то можете посмотреть полную запись выступления Лютикова. В ней помимо этого есть, например, еще немного и про планы по разработке документов: