Как я и обещал вчера, сегодня поговорим о второй части конференции ФСТЭК, посвященной сертификации. Во вчерашнем обзоре достижений российского рынка сертифицированных решений я обратил внимание на снижение числа продуктов, прошедших оценку соответствия и предрек еще большее снижение этого числа, вызванное готовящимися правилами сертификации ФСТЭК, о которых регулятор говорил на конференции на прошлой неделе.
Как мы помним вся сертификация сегодня базируется на артефакте времен перестройки - Постановлении Правительства №608 от 1995 года. 23 года! Немыслимый срок, в течение которого изменилось все (даже Президент) - технологии, производители, руководство ФСТЭК, продукты, угрозы, нарушители, геополитическая ситуация. А подходы к сертификации оставались теми же, что и во время, когда кроме гостайны у нас почти и не было никакой защищаемой информации. В 2010-м году была сделана попытка с выходом 330-м Постановления Правительства, которое регулировало вопросы сертификации средств защиты персданных и государственных информационных ресурсов. Безуспешно. В 2012-м году ФСТЭК попробовала еще раз урегулировать этот вопрос, но уже через информационное сообщение. Правительство же в том же году решило навести порядок с оценкой соответствия, но оставило в стороне тему защиты информации. И вот пришел через для нашего с вами направления деятельности. По решению Совета Безопасности подготовливается новый НПА - "Положение о сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа по требованиям безопасности информации". Именно о нем и шла речь в докладе Дмитрия Шевцова.
За 23 года накопилось немало проблем в сертификации, поэтому изменений процесса тоже будет немало. Я попробую тезисно выделить некоторые из тех, что мне запомнились из доклада:
Вот такая картина вырисовывается с готовящимися правилами сертификации средств защиты. Стремление ФСТЭК усилить контроль за заявителями и ужесточить требования к сертификации понятно, но оцениваются ли последствия принимаемых решений? Сегодня до сих пор не менее половины средств защиты, используемых теми же госорганами, - это иностранные решения. Если их не станет, то успеет ли российский рынок предложить соответствующую замену? Судя по вчерашнему обзору, отечественные разработчики пока не спешат занять высвобождающуюся нишу.
А вообще с наступающим всех праздником! Ведь это праздник не только защитников Отечества, но и киберзащитников киберотечества :-) Так что с праздником - одним или с двумя сразу!
PS. Я ошибся в заметке, написав про отзыв 4 сертификатов у РНТ, и в частности, у "Форпост". Никакого отзыва не было. Прошу извинений за введение в заблуждение.
За 23 года накопилось немало проблем в сертификации, поэтому изменений процесса тоже будет немало. Я попробую тезисно выделить некоторые из тех, что мне запомнились из доклада:
- До 1-го апреля должно быть разработано новое положение, которое затем уйдет в Правительство и Минюст. Можно предположить, что летом у нас будут новые правила сертификации средств защиты.
- Сроки действия сертификатов будут увеличены до 5 лет. Этот срок распространяется на заявителя. Потребитель, не являющийся заявителем, может эксплуатировать средства защиты вне зависимости от срока действия сертификата при выполнении следующих условий:
- не истек срок эксплуатации, установленный заявителем на сертификацию (при его наличии);
- заявитель осуществляет техническую поддержку сертифицированной продукции;
- применение продукции не противоречит требованиям по защите информации, установленным ФСТЭК;
- ФСТЭК не запретила применение продукции и сведения о сертификате соответствия на продукцию находятся в реестре на сайте регулятора.
- Устанавливаются более жесткие требования к заявителям. Включение требований к потребителям продукции, которые могут быть заявителями. Предъявление новых требований к разработчикам продукции (часто разработчик и заявитель - это разные лица; например, для иностранных средств защиты). Все разработчики средств защиты, зарегистрированные на территории России, должны будут иметь лицензию ФСТЭК на разработку средств защиты.
- ФСТЭК начинает "драть" разработчиков, которые не способны поддерживать сертифицированные изделия. Также ФСТЭК применяет метод "контрольных закупок" через звонки в службы техподдержки производителей от имени потребителей.
- Изменение схем сертификации продукции. Производители средств защиты теперь смогут сертифицировать свои решения только по схеме "серия". Никаких партий или единичных экземпляров. А вот потребители смогут сертифицировать средства защиты только по схемам "единичный экземпляр" или "партия". В целом, это логичное разделение, хотя проблему с огромным количеством сертификатов на один и тот же продукт не решит. Например, на Cisco ASA выдано около 50-60 сертификатов ФСТЭК для разных заявителей. Поддерживать такой зоопарк достаточно сложно.
- Детализация заявки на сертификацию. Если средство защиты иностранного происхождения и разработчик не имеет лицензии ФСТЭК на разработку, то сертификация будет проводиться только при наличии письма от потребителя о необходимости применения такого средства. Это вступает в некоторое противоречие с тем, что разработчик может сертифицировать только по схеме "серия". Но принятый курс на импортозапрещение подсказывает, что по другому и быть не могло. Число сертификаций зарубежных решений еще больше уменьшиться. Не каждый заказчик захочет "подставляться" и писать письмо регулятору с признанием, что хочется применять продукты нероссийского происхождения.
- Установление требований по защите информации ограниченного доступа и коммерческой тайны заявителя.
- Детализация процедур сертификации и установление точных сроков выполнения процедур сертификации. Например, для иностранных продуктов теперь будет требоваться сертификация только на территории России. Вот это требование, я боюсь, поставит крест на сертификации всех иностранных вендоров, которые пока еще тратят деньги на сертификацию в России. Одно дело предоставлять доступ к исходникам (а сейчас почти при любой сертификации это требуется в той или иной степени) или вывозить представителей испытательной лаборатории на место производства, и совсем другое дело - передавать исходные коды испытательной лаборатории (даже при включении в договор требований о сохранности коммерческой тайны). Есть, конечно, вариант с созданием западными вендорами собственных площадок на территории России, но пока этот путь еще никто не проходил и неизвестно вообще возможен ли он юридически?
Вот такая картина вырисовывается с готовящимися правилами сертификации средств защиты. Стремление ФСТЭК усилить контроль за заявителями и ужесточить требования к сертификации понятно, но оцениваются ли последствия принимаемых решений? Сегодня до сих пор не менее половины средств защиты, используемых теми же госорганами, - это иностранные решения. Если их не станет, то успеет ли российский рынок предложить соответствующую замену? Судя по вчерашнему обзору, отечественные разработчики пока не спешат занять высвобождающуюся нишу.
А вообще с наступающим всех праздником! Ведь это праздник не только защитников Отечества, но и киберзащитников киберотечества :-) Так что с праздником - одним или с двумя сразу!
PS. Я ошибся в заметке, написав про отзыв 4 сертификатов у РНТ, и в частности, у "Форпост". Никакого отзыва не было. Прошу извинений за введение в заблуждение.
Алексей, так все по старому и осталось. Новое положение ФСТЭК так же на основе древнего ПП 608 написано. Речь по идее надо вести о Положении Гостехкомиссии от 27 октября 1995 г. N 199, на замену которому новое разработано. Кроме этого, на основе ПП 608 разработано Положение ФСБ от 1999 года. Ничего изменилось..
ОтветитьУдалитьНа момент написания заметки проект приказа еще не был опубликован :-)
ОтветитьУдалить