ФСТЭК утвердила новые требования к СЗИ

Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила новые требования к софту в области информационной безопасности. Теперь его разработчики должны до конца 2019 года произвести сертификационные испытания на поиск потенциальных уязвимостей, а также, скрытых возможностей. Данная процедура потребует значительных затрат – заявили профессионалы рынка информационной безопасности и сами вендоры ПО в области кибербезопасности.

ФСТЭК РФ выпустила 29 марта 2019 информационное сообщение «о требованиях безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» и данное сообщение уже набрало сильный резонанс в экспертном сообществе.

Во-первых, новые требования распространяются на большой класс производителей софта и оборудования: это и разработчики антивирусов, производители межсетевых экранов, вендоры и разработчики софта для борьбы со спамом и веб-трафика, системы защиты от утечек информации от НСД и защищенные операционные системы (ОС). Сами же требования вступают в силу уже с 1 июня 2019 года.

Во-вторых, вендоры, разработчики и производители решений в этой сфере должны будут с привлечением испытательных лабораторий ФСТЭК пройти оценку соответствия своих продуктов и сервисам новым требованиям а также произвести испытания по выявлению уязвимостей и недекларированных возможностей до 1 января 2020 года. В противном случае действие их сертификатов будет приостановлено.

«Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах СЗИ в какой-то момент могут оказаться без действующих сертификатов», – представитель компании-разработчика, давший интервью «Ъ».

«Одно из ключевых требований проверки недекларируемых возможностей – передача исходного кода решений с описанием каждой функции и механизма работы. Крупные разработчики исходный код решения никогда не предоставят, так как это конфиденциальная информация, составляющая коммерческую тайну» – Никита Пинчук «Инфосекьюрити»

Вышесказанное дает понимание того, что для Российских компаний, представляющих сервисы и ПО в области кибербезопасности в рамках перечня по информационному сообщению ФСТЭК от 29.03.2019, процесс сертификации хоть сложных и дорогостоящих , но вполне реализуем, что нельзя сказать про зарубежные транснациональные компании в области защиты информации.

Более того, предоставление регуляторам исходного кода стало запрещенной процедурой законодательством ряда развитых стран, что является не менее серьезным препятствием. Вкупе все эти заявления дают основания полагать что Российский рынок информационной безопасности ожидает явная трансформация в течение ближайших двух лет.