Ответ ФСТЭК по поводу требования сертификата на средства защиты, включаемые в реестр отечественного ПО

Ответ ФСТЭК по поводу требования сертификата на средства защиты, включаемые в реестр отечественного ПО
Месяц назад я публиковал  ответ Минкомсвязи на запрос одного из отечественных стартапов, разработавших облачную систему ИБ, по поводу требования сертификата соответствия требованиям информационной безопасности при включении в реестр отечественного ПО. Недавно история получила свое продолжение. Оказалось, что Минкомсвязи аналогичный вопрос направил в ФСТЭК и на днях был получен ответ, который коллеги из стартапа переслали и мне для ознакомления.


На первый вопрос о применимости сертификатов по "Общим критериям" для включения в реестр ответ, на мой взгляд, был предсказуем. Использовать их нельзя, так как в России "Общие критерии" не действуют и не приняты в качестве системы оценки соответствия по требованиям безопасности. Это давняя история и решения (признания "ихних" сертификатов у нас и наших у них) у нее, видимо, уже не будет никогда.


Самый главный ответ следовал под номером 5. Он также был очевиден для меня и я про это уже писал в феврале. Я считал и считаю, что ПП-1236 достаточно четко говорит о том, что для включения в реестр отечественного ПО требуется сертификат соответствия требованиям по безопасности и это может быть либо сертификат ФСТЭК, либо ФСБ. Однако та заметка вызвала большое количество споров в Facebook и многие апологеты реестра и патриоты отечественной индустрии ПО стали мне доказывать, что никаких сертификатов не нужно и реестр создавался не для этого. И вот ответ регулятора - сертификат на средство защиты нужен.


Так как у стартапа, который задает все эти вопросы (и не боится, как многие именитые игроки рынка ИБ), решение облачное, а на него достаточно сложно получить сертификат, то они задали вопрос о возможности аттестации своей облачной системы защиты информации. Ответ ФСТЭК неутешителен - аттестата недостаточно. Тут, как мне кажется, ФСТЭК продемонстрировала, что пока они не готовы к облачным средствам ИБ. Они не знают, как их оценивать.


В качестве резюме еще раз хочу озвучить свою позицию. Если буквально читать ПП-1236, то в нем написано, что на средства защиты сертификат ФСТЭК или ФСБ нужен. Точка. Дальше можно сколь угодно обсуждать, что реестр создавался для другого, что есть разъяснение министра, что заказчики и так должны покупать сертифицированные СрЗИ, но все это ни о чем. Есть формальное требование, которое должно быть соблюдено. И я дискутирую только по этому поводу. Все остальное мне по барабану. И реестр, и разъяснение министра, и планы по внесению изменений в ПП-1236. Вот внесут, тогда и поговорим.

Пока моя позиция остается неизменной - сертификат нужен. Если Экспертный совет при Минкомсвязи не просит, то это их проблема и они сами дискредитируют реестр, нарушая действующее законодательство в пользу своих коммерческих интересов и лишний раз подтверждая мысль, что реестр отечественного ПО в его нынешней версии - это профанация. Особенно после включения  в реестр ПО на базе явно не российского EMC Documentum.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!