ФСТЭК России обновила важнейшие для развития информационной безопасности в стране перечни и реестры. В реестре сертифицированных средств защиты регулятора активно появляются одни продукты и иногда исчезают другие. Изменения в некоторых других реестрах и перечнях говорят о том, что у государства появились организационные рычаги для принудительного повышения качества продуктов и услуг по защите данных.
- Введение
- Частота обновлений
- Значение последних изменений
- Роль обновлений в целом
- Сложности включения
- Выводы
Введение
На сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК) появился обновленный реестр сертифицированных средств защиты, лицензий на разработку и производство таких продуктов и техническую защиту конфиденциальных данных. Также регулятор представил обновленный реестр аккредитованных им испытательных лабораторий и органов по сертификации. Кроме того, он опубликовал обновленный перечень организаций и госучреждений, имеющих право на аттестацию объектов информатизации, которые, в частности, обрабатывают данные ограниченного доступа, не связанные с гостайной.
Частота обновлений
Изменения в реестре сертифицированных средств защиты сегодня происходят гораздо чаще, чем раньше — каждый месяц, а иногда и несколько раз в месяц. Регулятор добавляет в него продукты почти одновременно с выдачей сертификатов на них, а она сейчас происходит значительно более активно.
"Иногда мы узнавали о выдаче сертификата при мониторинге реестров ФСТЭК, а уже потом получали уведомление о готовности сертификата. По лицензиям — аналогично. При этом раньше выдавали «гербовую» лицензию, а сейчас предоставляют выписку из реестра ФСТЭК, заверенную квалифицированной ЭЦП", — замечает начальник отдела сертификации и лицензирования ГК "Солар" Евгений Рвянин.
Удаляет продукты и компании из реестров ФСТЭК также регулярно и по самым разным причинам.
"Например, для сертифицированного средства защиты заявитель не оформил или в необходимый срок не подал все сведения, предоставление которых требуется, чтобы продлить действие сертификата продукта", — пояснил руководитель направления безопасности промышленных предприятий Infosecurity a Softline Company Анатолий Сазонов.
Достаточно активно также обновляется реестр лицензий на разработку и производство средств защиты и лицензий на защиту информации.
Лицензии на защиту информации, разработку и производство средств защиты также появляются в реестрах практически одновременно с их выдачей — сроки их внесения, как и средств защиты, в реестры прописаны в соответствующих регламентах.
Значение последних изменений
По всей видимости, количество новых продуктов и компаний в реестрах ФСТЭК превышает число удаленных.
"По нашим наблюдениям, расширение реестров составляет не более 10% по сравнению с прошлым годом", — замечает директор НАЦ "Информзащиты" Дмитрий Пойгин.
Это означает, что спектр возможностей заказчиков средств защиты к настоящему времени не сильно, но увеличился.
"Особенно следует отметить внесение в реестр сертификата на операционную систему специального назначения «Astra Linux Special Edition», который был переоформлен третьего февраля. Он подтверждает соответствие продукта требованиям по безопасности информации к средствам контейнеризации и виртуализации по 1 классу защиты", — заявляет Дмитрий Пойгин.
Изменения в других реестрах и перечнях регулятора также привели к ощутимым последствиям.
"Можно сказать, что у государства появились организационные рычаги для принудительного повышения качества услуг и продукции, что должно позитивно сказаться на всей экономике страны. Низкое качество не может служить надёжным фундаментом для безопасности, о которой чаще всего вспоминают только во время инцидентов. Понимание этого постепенно приходит", — отмечает ведущий инженер компании "Газинформсервис" Игорь Гусев.
Роль обновлений в целом
Регулярные обновления реестров и перечней ФСТЭК очень важны для участников рынка информационной безопасности, так как полноценно работать без лицензий или сертификатов регулятора ИБ-компании попросту не могут.
"Если лицензий на техническую защиту конфиденциальных данных, разработку и производство средств защиты у компании нет, то заниматься такой деятельностью в России ей нельзя, так как она является лицензируемой. Все заказчики это знают и про наличие этих документов будут спрашивать исполнителя в первую очередь", — отмечает руководитель отдела аналитики "СёрчИнформ" Алексей Парфентьев.
По словам Дмитрия Пойгина, во многих тендерах в требованиях указывается, что компания должна быть лицензиатом.
"Внесение в реестр компании говорит заказчикам, что деятельность ее является законной, она имеет все необходимое для реализации лицензируемого вида деятельности. Это дает им основание доверять ей, к примеру, разработку средств защиты информации", — дополняет Евгений Рвянин.
Сертификат средства защиты говорит заказчикам о том, что ему можно доверять, он прошел исследования, в рамках которых были устранены критические уязвимости. Приобретая сертифицированный продукт, они в первую очередь получают уверенность в нем и гарантию на него, документально оформленную государством.
Также заказчики могут не сомневаться в его нахождении в реестре отечественного ПО, так как туда включаются только имеющие сертификат решения. Продукты, у которых его нет, заказчики не считают отечественными из-за отсутствия в этом реестре. Более того, их не могут использовать госкомпании и владельцы объектов критической информационной инфраструктуры (КИИ).
Кроме того, несертифицированные продукты нельзя применять для защиты персональных данных в соответствии с требованиями законодательства. Это исключает возможность их использования очень многими организациями, так как сегодня практически все учреждения являются операторами ПДн, будучи обязанными регистрироваться в Роскомнадзоре даже в случае обработки ПДн своих собственных сотрудников.
Особенно важно наличие продуктов и компаний в реестрах ФСТЭК для заказчиков, которые работают с конфиденциальными данными или в сферах, где требуется высокий уровень их защиты. Кроме того, наличие в этих реестрах средств защиты и организаций необходимо для их подключения к государственным информационным системам. Это главное условие успешной работы с госструктурами.
"Для интеграторов включение в реестры ФСТЭК открывает возможность проектирования, внедрения, аттестации и поддержки средств защиты информации, поскольку многие из этих видов работ являются лицензируемыми. У них расширяется рынок услуг, так как они могут работать с более широким кругом заказчиков, включая госструктуры и крупные корпорации, для которых обязательно использование сертифицированных средств защиты", — пояснил Анатолий Сазонов.
Сложности включения
За последние несколько лет включение продуктов и компаний в реестры ФСТЭК трансформировалось из простой формально-бумажной процедуры в полноценные исследования и верификацию всего, информацию о чем требуется предоставить регулятору. В целом получение сертификата для продукта у компании занимает не меньше года, лицензий на деятельность — минимум полгода, рассказывают в компании Innostage.
"Процесс получения лицензии и сертификатов продуктов регламентируется нормативно-правовыми актами, часть из них имеет гриф «для служебного пользования»", — поясняет директор по стратегии и развитию технологий Axiom JDK Роман Карпов.
Проверка средства защиты включает в себя не только изучение его, но и тех условий, в которых он разрабатывается.
"Грубо говоря, оценивают в целом подход разработчика, выясняют, владеет ли он методикой безопасной разработки, проверяет ли компания сама безопасность своего продукта, нет ли у ее сотрудников возможности внесения вредоносных изменений и останется ли оно незамеченным", — поясняет Алексей Парфентьев.
Чтобы получить сертификаты на продукты, вендорам необходимо преодолеть ряд технических сложностей. Для присвоения высокого уровня доверия решению, к примеру, им необходимо отдать его независимым лабораториям на проверку исходного года.
"Это трудоемкая процедура, выполняемая независимыми лабораториями. Чем сложнее ваш продукт, тем больше времени она занимает. Только после такой проверки данные подаются регулятору, и тот уже принимает решение о предоставлении сертификата", — поясняет Алексей Парфентьев.
Срок его действия составляет 5 лет, однако он выдается на продукт конкретного вида, поэтому любое изменение в нем функций безопасности — а в средствах защиты практически любая функция с ней связана — означает необходимость повторной проверки исходного кода продукта. В результате происходит задержка между выходом хотфикса и появлением сертифицированной версии решения.
"Это особенно мешает применять средства борьбы с zero-day угрозами. Заказчики вынуждены использовать еще несертифицированную версию продукта, либо ждать проверки его исходного кода без возможности обновить функциональность", — отмечает Алексей Парфентьев.
При успешной повторной проверке исходного кода продукта, данные о его обновлениях, как правило, вносятся в документацию, а на сертификате ставится отметка "переоформлен".
Лицензии компаний на техническую защиту бессрочны.
"Однако для подтверждения соответствия требованиям регулятора компании периодически, обычно раз в три года, обязывают пройти плановую выездную проверку сотрудников ФСТЭК", — рассказывают в Innostage.
Выводы
Механизм выполнения требований, предъявляемых к компаниям, которые хотят получить лицензии на техническую защиту, сертификаты на продукты, а также лицензии на их разработку и производство, довольно прозрачен и детально описан. Однако выполнение всех требований регулятора при оформлении документов, необходимых для подтверждения заявляемого качества услуг и продукции, вызывает у компаний ряд сложностей.
"Лицензионные требования и условия, а также требования по сертификации средств защиты довольно жесткие. Например, для получения возможности проведения аттестационных испытаний организации необходимо иметь в штате специалистов с соответствующим высшим профессиональным образованием, аттестованные защищаемое помещение и автоматизированную систему, поверенное контрольно-измерительное оборудование, специализированное ПО, техническую и методическую документацию, национальные стандарты", — рассказывает Дмитрий Пойгин.
По словам Игоря Гусева, преодолеть все сложности можно только систематической добросовестной работой, когда это становится внутренней культурой и образом деятельности организации в целом.