Статьи и публикации

ФСТЭК обновила требования к ПО в сфере кибербезопасности

Интернет-портал Lawmix.ru, 18 апреля 2019

Экспертный комментарий Алексея Сабанова, к.т.н., заместителя генерального директора компании "Аладдин Р.Д."

Федеральная служба по техническому и экспортному контролю (ФСТЭК) представила требования к разработке программного обеспечения и средствам защиты информации. Обновлённые предписания распространяются на межсетевые экраны, антивирусы, защищенные ОС, программы защиты от утечки информации и ПО в сфере борьбы со спамом и защиты трафика.

Предполагается, что требования вступят в силу уже 1 июля текущего года. Производители и разработчики будут обязаны до конца 2019 года провести испытания своих продуктов (посредством лабораторий ФСТЭК) на предмет соответствия новым предписаниям и выявления недекларированных возможностей, а также уязвимостей. В случае отказа или опоздания с тестированием действие сертификатов может быть приостановлено.

Участники рынка прогнозируют, что реализация требований повлечёт за собой существенные растраты на прохождение сертификации. Более того, это может привести к сокращению зарубежных поставщиков софта в отечественном госсекторе, пишет "Ъ".

Аналитики указывают на то, что крупные игроки рынка вряд ли предоставят для испытания исходный код, ввиду конфиденциальности информации. Посему количество иностранных компаний, предоставляющих софт для российских госорганов, может сократиться. С другой стороны, такая ситуация на руку отечественным разработчикам, поскольку это шанс для них начать работу в госсекторе.

Сабанов Алексей (Заместитель генерального директора "Аладдин Р.Д.")

Как Вы оцениваете новые требования к средствам защиты информации?

Новые требования вытекают из последовательного эволюционного пути развития системы регулирования, проводимого ФСТЭК России.

Приказ ФСТЭК России №131 от 30.07.2018 "Об утверждении Требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" подробно обсуждался в феврале 2019 г. на конференции в рамках выставки "Технологии безопасности". В первой части документа четко очерчено, что "Требования доверия устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа".

Поэтому говорить, что "требования к софту в сфере кибербезопасности" некорректно с двух позиций.

Первая: уважаемые коллеги, никто не заставляет вас сертифицировать ваши решения по новым требованиям. Приказ 131 касается только тех разработчиков, кто хочет с помощью своих решений защищать информацию ограниченного доступа и гостайну. К тому же, необходимость предоставления в испытательную лабораторию исходных кодов была и раньше для всех СЗИ, начиная с третьего уровня НДВ. Применяемый подход к сертификации раньше был размыт - грубо, это звучало так: "недекларированных возможностей в результате испытаний вашего СЗИ не выявлено". Теперь вводятся уровни доверия, что более понятно потребителям особенно тем, кто строит доверенные (безопасные) системы. Шестой уровень доверия – самый низкий, самый высокий – первый. Уровням доверия поставлены в соответствие определённые классы защиты СЗИ, категории значимых объектов КИИ, классы ГИС, АСУТП, ИСОП и уровни ИСПДн. Кстати, СЗИ, которые сертифицированы на профили защиты (а это практически все последние опубликованные на сайте www.fstec.ru сертификаты, для которых профили есть) будут соответствовать большинству новых требований и для них необходимо выполнить только оценку соответствия новым требованиям: «Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия".

Вторая позиция. Почему речь идет только о кибербезопасности? Только потому, что эта тема сейчас в моде? Известно, что к кибербезопасности относятся только внешние угрозы и их реализации. В то же время основные утечки конфиденциальной информации происходят изнутри. Поэтому более корректно говорить о защите информации ограниченного доступа.

Отвечая на поставленный вопрос, я приветствую рассматриваемый приказ как логическое продолжение развития и модернизации нормативной базы, которое последовательно проводит ФСТЭК России.