Месяц назад я публиковал ответ Минкомсвязи на запрос одного из отечественных стартапов, разработавших облачную систему ИБ, по поводу требования сертификата соответствия требованиям информационной безопасности при включении в реестр отечественного ПО. Недавно история получила свое продолжение. Оказалось, что Минкомсвязи аналогичный вопрос направил в ФСТЭК и на днях был получен ответ, который коллеги из стартапа переслали и мне для ознакомления.
На первый вопрос о применимости сертификатов по "Общим критериям" для включения в реестр ответ, на мой взгляд, был предсказуем. Использовать их нельзя, так как в России "Общие критерии" не действуют и не приняты в качестве системы оценки соответствия по требованиям безопасности. Это давняя история и решения (признания "ихних" сертификатов у нас и наших у них) у нее, видимо, уже не будет никогда.
Самый главный ответ следовал под номером 5. Он также был очевиден для меня и я про это уже писал в феврале. Я считал и считаю, что ПП-1236 достаточно четко говорит о том, что для включения в реестр отечественного ПО требуется сертификат соответствия требованиям по безопасности и это может быть либо сертификат ФСТЭК, либо ФСБ. Однако та заметка вызвала большое количество споров в Facebook и многие апологеты реестра и патриоты отечественной индустрии ПО стали мне доказывать, что никаких сертификатов не нужно и реестр создавался не для этого. И вот ответ регулятора - сертификат на средство защиты нужен.
Так как у стартапа, который задает все эти вопросы (и не боится, как многие именитые игроки рынка ИБ), решение облачное, а на него достаточно сложно получить сертификат, то они задали вопрос о возможности аттестации своей облачной системы защиты информации. Ответ ФСТЭК неутешителен - аттестата недостаточно. Тут, как мне кажется, ФСТЭК продемонстрировала, что пока они не готовы к облачным средствам ИБ. Они не знают, как их оценивать.
В качестве резюме еще раз хочу озвучить свою позицию. Если буквально читать ПП-1236, то в нем написано, что на средства защиты сертификат ФСТЭК или ФСБ нужен. Точка. Дальше можно сколь угодно обсуждать, что реестр создавался для другого, что есть разъяснение министра, что заказчики и так должны покупать сертифицированные СрЗИ, но все это ни о чем. Есть формальное требование, которое должно быть соблюдено. И я дискутирую только по этому поводу. Все остальное мне по барабану. И реестр, и разъяснение министра, и планы по внесению изменений в ПП-1236. Вот внесут, тогда и поговорим.
Пока моя позиция остается неизменной - сертификат нужен. Если Экспертный совет при Минкомсвязи не просит, то это их проблема и они сами дискредитируют реестр, нарушая действующее законодательство в пользу своих коммерческих интересов и лишний раз подтверждая мысль, что реестр отечественного ПО в его нынешней версии - это профанация. Особенно после включения в реестр ПО на базе явно не российского EMC Documentum.
На первый вопрос о применимости сертификатов по "Общим критериям" для включения в реестр ответ, на мой взгляд, был предсказуем. Использовать их нельзя, так как в России "Общие критерии" не действуют и не приняты в качестве системы оценки соответствия по требованиям безопасности. Это давняя история и решения (признания "ихних" сертификатов у нас и наших у них) у нее, видимо, уже не будет никогда.
Самый главный ответ следовал под номером 5. Он также был очевиден для меня и я про это уже писал в феврале. Я считал и считаю, что ПП-1236 достаточно четко говорит о том, что для включения в реестр отечественного ПО требуется сертификат соответствия требованиям по безопасности и это может быть либо сертификат ФСТЭК, либо ФСБ. Однако та заметка вызвала большое количество споров в Facebook и многие апологеты реестра и патриоты отечественной индустрии ПО стали мне доказывать, что никаких сертификатов не нужно и реестр создавался не для этого. И вот ответ регулятора - сертификат на средство защиты нужен.
Так как у стартапа, который задает все эти вопросы (и не боится, как многие именитые игроки рынка ИБ), решение облачное, а на него достаточно сложно получить сертификат, то они задали вопрос о возможности аттестации своей облачной системы защиты информации. Ответ ФСТЭК неутешителен - аттестата недостаточно. Тут, как мне кажется, ФСТЭК продемонстрировала, что пока они не готовы к облачным средствам ИБ. Они не знают, как их оценивать.
В качестве резюме еще раз хочу озвучить свою позицию. Если буквально читать ПП-1236, то в нем написано, что на средства защиты сертификат ФСТЭК или ФСБ нужен. Точка. Дальше можно сколь угодно обсуждать, что реестр создавался для другого, что есть разъяснение министра, что заказчики и так должны покупать сертифицированные СрЗИ, но все это ни о чем. Есть формальное требование, которое должно быть соблюдено. И я дискутирую только по этому поводу. Все остальное мне по барабану. И реестр, и разъяснение министра, и планы по внесению изменений в ПП-1236. Вот внесут, тогда и поговорим.
Пока моя позиция остается неизменной - сертификат нужен. Если Экспертный совет при Минкомсвязи не просит, то это их проблема и они сами дискредитируют реестр, нарушая действующее законодательство в пользу своих коммерческих интересов и лишний раз подтверждая мысль, что реестр отечественного ПО в его нынешней версии - это профанация. Особенно после включения в реестр ПО на базе явно не российского EMC Documentum.