Pages - Menu

Страницы

21.2.18

Анализ реестра сертифицированных средств защиты ФСТЭК за 2017 год

Чуть больше года назад я провел блиц-анализ реестра сертифицированных средств защиты информации ФСТЭК за интервал 2012-2016 годов (часть 1 и 2). И вот в предверие конференции ФСТЭК "Актуальные вопросы защиты информации" я решил проанализировать изменения, произошедшие в реестре за ушедший год. Мой особенный интерес был связан с вопросом, как меняется поведение игроков отечественного рынка ИБ в условиях санкций и импортозапрещения.

Основной тенденцией прошедшего года стало существенное (трехкратное) сокращение числа иностранных средств защиты, получивших сертификаты ФСТЭК. На мой взгляд это обусловлено несколькими причинами:
  • ужесточение требований по сертификации (и дальше будет только хуже, но об этом в следующей заметке)
  • курс на импортозапрещение и нежелание иностранных игроков бессмысленно тратить деньги на то, что невостребовано заказчиками.


Логично было бы предположить, что российские компании воспользуются возможностью и начнут активно разрабатывать (тем более, что с введения санкций прошло уже 4 года - достаточный срок для создания средства защиты) новые типы средств кибербезопасности. Увы. И хотя общее число сертификатов на отечественные СрЗИ чуть выросло по сравнению с предыдущими годами, новых средств так и не появилось. Повторюсь, что на гистограмме ниже показаны цифры для традиционных средств защиты информации - всякие защитные фольги, генераторы шума, системы защиты локомотивов и т.п. я в эти цифры не включал.


Вообще динамика сертификации традиционных средств защиты выглядит не очень позитивно - число сертифицированных решений неуклонно снижается, что связано, на мой взгляд, с серьезным ужесточением требований ФСТЭК по оценке соответствия. Даже российские компании не всегда в состоянии их выполнить, не говоря уже об "иностранцах". А уж поддерживать сертифицированное решение в актуальном состоянии и вовсе задача неподъемная для многих.


Очевидно, что санкции повлияли на общее число сертификатов, выданных ФСТЭК, с небольшим преимуществом для российских компаний.


Из отдельных тенденций я бы отметил еще следующее:
  • за прошедший год в России не было сертифицировано ни одного промышленного МСЭ и это несмотря на активную шумиху вокруг темы защиты АСУ ТП и безопасности КИИ
  • прикладных МСЭ (класс В) сертифицировано всего... 1 изделие, а всего по новым требованиям к МСЭ было выдано 8 сертификатов по классу А и 4 - по классу Б
  • систем обнаружения атак было сертифицировано по 3 каждого класса = сетевого и хостового
  • несмотря на шумиху вокруг темы SOC и активную разработку отечественных SIEM, сертификат на данные типы средств (необходимы для получения лицензий ФСТЭК на мониторинг ИБ) был выдан всего 1 (на MaxPatrol SIEM)
  • а вот IDMов было сертифицировано целых 5 - и отечественных, и иностранных
  • из отечественных офисных решений заветную бумажку получил только "МойОфис", отечественное сетевое оборудование отметилось всего одним сертификатом ФСТЭК (на Cisco при этом было выдано около десятка сертификатов), а также было сертифицирована одна "отечественная" ОС (Нейтрино). Известные Альт Линукс и некая EcoRouter были сертифицированы почему-то как СВТ. И если для Альт Линукс это еще можно понять (хотя РД на ОС уже были), то сетевая ОС как СВТ?.. Это за гранью.
Что в свухом остатке? Если раньше термин "импортозапрещение" вместо "импортозамещения" звучал как шутка, то проведенный анализ показывает, что это вполне реальное отражение дел. Отечественных решений больше не стало ни количественно, ни качественно, а число зарубежных сократилось в разы. Иногда упоминаемый министром связи термин "экспортопригодность" тоже показал свою полную недееспособность - взрывного интереса иностранцев к российским решениям не появилось, а там, где некоторые российские ИБ-производители чувствовали себя вполне уверенно, начались проблемы (вспомним кейс с Лабораторией Касперского в США, Великобритании и др.).

И надо признать, что ситуация будет только хуже. Во-первых, ФСТЭК еще больше ужесточает требования по сертификации (про это я напишу завтра). Во-вторых, заказчики не имеют возможности брать то, что им нужно. Иностранное они не могут, а отечественного просто нет (я даже не говорю, когда отечественное хуже, а именно про те ситуации, когда отечественного вообще нет). В-третьих, иностранные вендоры боятся или физически не могут сертифицировать свои продукты в России. В-четвертых, на развитие отечественной ИБ-отрасли денег как не выделяли, так и не выделяют.А тут еще грядет цифровая экономика, для которой нужно еще больше ИТ/ИБ-решений, чем было раньше. И где их брать при существующих требованиях по ИБ, выставленных государством? Если на 2018-й год программа "Цифровой экономики" по направлению ИБ требует 5 миллиардов рублей, то правительство выделило всего 500 миллионов. И что на эти деньги можно сделать? Ничего :-(

ЗЫ. Снижение числа сертификаций означает еще и тот факт, что у испытательных лабораторий могут начать сложности с финансированием, что приведет либо к сокращению числа лабораторий, либо к увеличению цен на сертификацию, либо к снижению качества сертификации при тех же ценах. И все эти варианты непозитивны :-(

2 комментария:

  1. Алексей, во всей этой заметке почему-то больше всего зацепила фраза ""либо к снижению качества сертификации".
    А оно было, качество сертификации? В чем оно выражалось?
    Или есть те, кто свято верит, что вот те пара уязвимостей, которые были обнаружены в продуктах КБ, на которые были выпущены уведомления - это все, ошибок больше нет, все благодаря сертификационным испытаниям?

    ЗЫ. С удивлением обнаружил тут, как православные разработчики игнорируют рекомендации Microsoft по использованию каталогов, в частности "Program Files". Мне кажется уже лет десять назад вендор стал рекомендовать использовать его только для неизменяемых программных файлов и данных, а все остальное хранить в реестре, профиле пользователя, ProgramData (ранее All users). Используются специальные механизмы, чтобы для альтернативных разработчиков, которые не справились с этой задачей, все таки записывать эти данные в другое место. Так ведь нет, все равно пихают туда свои логи. XSpider, vGate... На какую корректную интеграции с системными механизмами ОС можно надеяться? Костыли костылями погоняют...

    ОтветитьУдалить
  2. Ну я помню времена, когда результаты испытаний подписывались в самолете между Москвой и Питером даже без проведения каких-либо испытаний. И я вижу кейсы с отзывами сертификатов и нагибанием вендоров. Ситуация меняется в лучшую сторону.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.