А ФСТЭК все молчит...

А ФСТЭК все молчит...
1-го декабря вступили в силу новые правила ФСТЭК, согласно которым, все новые разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать новым требованиям ФСТЭК, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. №9.  При этом в информационном сообщении ФСТЭК от 28 апреля 2016 г. N 240/24/1986 "Об утверждении требований к межсетевым экранам" прямо сказано, что "межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям". Все бы ничего, но тут мы сталкиваемся с реальностью, которая далеко от того, что думали во ФСТЭК, выпуская свои требования. А реальность такова, что органы по аттестации отказываются аттестовывать системы, в которых используются МСЭ с действующим сертификатом, но выданным по старым требованиям. Мотивируют они это тем, что ввиду отсутствия четкой и явной позиции регулятора рисковать своей лицензией и правом проводить аттестации они не готовы.

Учитывая, что на момент написания этой заметки в России только один МСЭ был сертифицирован по новым требованиям, а денег на покупку новых МСЭ или сертификацию имеющихся никто в бюджет не закладывал, то ситуация складывая тупиковая. И что делать пока непонятно. Я в начале декабря звонил во ФСТЭК с просьбой прокомментировать ситуацию и мне ответили, что волноваться не надо, что соответствующее информационное сообщение готовится и скоро все наладится. Но вот прошло уже почти полтора месяца, а воз и ныне там. 

И судя по активности в социальных сетях многие госорганы и муниципалы уже начинают задавать неприятные вопросы и чуть ли не обвинять регулятора в лоббировании интересов единственного "доверенного" поставщика. Я не настолько наивен, чтобы подозревать такое, но проблема явно требует участия регулятора. И проблема не рассосется сама собой, так как есть немалое количество продуктов, которые производители не планируют повторно сертифицировать по новым требованиям, так они выпустили уже новые версии своих решений и активно продвигают их. Аттестационные компании же выжидают - либо явно отказывая клиентам в аттестации, либо предлагая выдавать аттестат со сроком действия равным сроку действия сертификата на МСЭ, что не устраивает заказчиков, которые не готовы потом повторно платить за аттестацию.

А ФСТЭК все молчит...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!