Конференция ФСТЭК: новые правила сертификации средств защиты

Конференция ФСТЭК: новые правила сертификации средств защиты
Как я и обещал  вчера , сегодня поговорим о второй части конференции ФСТЭК, посвященной сертификации. Во вчерашнем обзоре достижений российского рынка сертифицированных решений я обратил внимание на снижение числа продуктов, прошедших оценку соответствия и предрек еще большее снижение этого числа, вызванное готовящимися правилами сертификации ФСТЭК, о которых регулятор говорил на конференции на прошлой неделе.

Как мы помним вся сертификация сегодня базируется на артефакте времен перестройки - Постановлении Правительства №608 от 1995 года. 23 года! Немыслимый срок, в течение которого изменилось все (даже Президент) - технологии, производители, руководство ФСТЭК, продукты, угрозы, нарушители, геополитическая ситуация. А подходы к сертификации оставались теми же, что и во время, когда кроме гостайны у нас почти и не было никакой защищаемой информации. В 2010-м году была сделана попытка с выходом  330-м Постановления Правительства , которое регулировало вопросы сертификации средств защиты персданных и государственных информационных ресурсов. Безуспешно. В 2012-м году ФСТЭК  попробовала еще раз урегулировать этот вопрос, но уже через информационное сообщение. Правительство же в том же году  решило  навести порядок с оценкой соответствия, но оставило в стороне тему защиты информации. И вот пришел через для нашего с вами направления деятельности. По решению Совета Безопасности подготовливается новый НПА - "Положение о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации". Именно о нем и шла речь в докладе Дмитрия Шевцова.



За 23 года накопилось немало проблем в сертификации, поэтому изменений процесса тоже будет немало. Я попробую тезисно выделить некоторые из тех, что мне запомнились из доклада:
  • До 1-го апреля должно быть разработано новое положение, которое затем уйдет в Правительство и Минюст. Можно предположить, что летом у нас будут новые правила сертификации средств защиты.
  • Сроки действия сертификатов будут увеличены до 5 лет. Этот срок распространяется на заявителя. Потребитель, не являющийся заявителем, может эксплуатировать средства защиты вне зависимости от срока действия сертификата при выполнении следующих условий:
    • не истек срок эксплуатации, установленный заявителем на сертификацию (при его наличии);
    • заявитель осуществляет техническую поддержку сертифицированной продукции;
    • применение продукции не противоречит требованиям по защите информации, установленным ФСТЭК;
    • ФСТЭК не запретила применение продукции и сведения о сертификате соответствия на продукцию находятся в реестре на сайте регулятора.
  • Устанавливаются более жесткие требования к заявителям. Включение требований к потребителям продукции, которые могут быть заявителями. Предъявление новых требований к разработчикам продукции (часто разработчик и заявитель - это разные лица; например, для иностранных средств защиты). Все разработчики средств защиты, зарегистрированные на территории России, должны будут иметь лицензию ФСТЭК на разработку средств защиты.
  • ФСТЭК начинает "драть" разработчиков, которые не способны поддерживать сертифицированные изделия. Также ФСТЭК применяет метод "контрольных закупок" через звонки в службы техподдержки производителей от имени потребителей.
  • Изменение схем сертификации продукции. Производители средств защиты теперь смогут сертифицировать свои решения только по схеме "серия". Никаких партий или единичных экземпляров. А вот потребители смогут сертифицировать средства защиты только по схемам "единичный экземпляр" или "партия". В целом, это логичное разделение, хотя проблему с огромным количеством сертификатов на один и тот же продукт не решит. Например, на Cisco ASA выдано около 50-60 сертификатов ФСТЭК для разных заявителей. Поддерживать такой зоопарк достаточно сложно.
  • Детализация заявки на сертификацию. Если средство защиты иностранного происхождения и разработчик не имеет лицензии ФСТЭК на разработку, то сертификация будет проводиться только при наличии письма от потребителя о необходимости применения такого средства. Это вступает в некоторое противоречие с тем, что разработчик может сертифицировать только по схеме "серия". Но принятый курс на импортозапрещение подсказывает, что по другому и быть не могло. Число сертификаций зарубежных решений еще больше уменьшиться. Не каждый заказчик захочет "подставляться" и писать письмо регулятору с признанием, что хочется применять продукты нероссийского происхождения.
  • Установление требований по защите информации ограниченного доступа и коммерческой тайны заявителя.
  • Детализация процедур сертификации и установление точных сроков выполнения процедур сертификации. Например, для иностранных продуктов теперь будет требоваться сертификация только на территории России. Вот это требование, я боюсь, поставит крест на сертификации всех иностранных вендоров, которые пока еще тратят деньги на сертификацию в России. Одно дело предоставлять доступ к исходникам (а сейчас почти при любой сертификации это требуется в той или иной степени) или вывозить представителей испытательной лаборатории на место производства, и совсем другое дело - передавать исходные коды испытательной лаборатории (даже при включении в договор требований о сохранности коммерческой тайны). Есть, конечно, вариант с созданием западными вендорами собственных площадок на территории России, но пока этот путь еще никто не проходил и неизвестно вообще возможен ли он юридически?


Вот такая картина вырисовывается с готовящимися правилами сертификации средств защиты. Стремление ФСТЭК усилить контроль за заявителями и ужесточить требования к сертификации понятно, но оцениваются ли последствия принимаемых решений? Сегодня до сих пор не менее половины средств защиты, используемых теми же госорганами, - это иностранные решения. Если их не станет, то успеет ли российский рынок предложить соответствующую замену? Судя по вчерашнему обзору, отечественные разработчики пока не спешат занять высвобождающуюся нишу.

А вообще с наступающим всех праздником! Ведь это праздник не только защитников Отечества, но и киберзащитников киберотечества :-) Так что с праздником - одним или с двумя сразу!


PS. Я ошибся в заметке, написав про отзыв 4 сертификатов у РНТ, и в частности, у " Форпост ". Никакого отзыва не было. Прошу извинений за введение в заблуждение.



Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину