Pages - Menu

Страницы

3.4.19

Новые требования ФСТЭК по сертификации еще больше сужают рынок средств защиты

Вчера на сайте ФСТЭК было опубликовано информационное сообщение об утверждении требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Данный документ вступает в силу с 1-го июня 2019 года и приходит на смену РД на  НДВ, который по сути прекращает свое действие. Новые требования по доверию, о которых ФСТЭК говорила уже давно, являются обязательными для всех разработчиков средств защиты и заявителей на сертификацию ФСТЭК. Уже становится традицией, что этот документ, а также идущая с ним в паре методика выявления уязвимостей и недекларированных возможностей, носят пометку "для служебного пользования" и широкому кругу лиц недоступны.


Меня в этом информационном сообщении заинтересовал только один пункт, а именно следующий: "Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено" (выделение мое).

Если читать этот абзац буквально, то все действующие сертификаты должны быть пересмотрены до 1-го января следующего года (вот у испытательных лабораторий работки-то подвалит) и в них должны появиться приписки по поводу соответствия требованиям по доверию. Не хочется быть гонцом с плохими вестями, но подозреваю, что не все разработчики, особенно зарубежные, смогут пройти проверку даже на 6-й уровень доверия, что означает для некоторых разработчиков, что их попросят "выйти вон" с рынка. И все в рамках абсолютно законной процедуры, направленной на повышение национальной безопасности.


Надо заметить, что после фактического запрета на сертификацию решений с облачной Threat Intelligence (а куда сейчас без нее) многие применяемые в России продукты и так были несертифицируемы, но новый посыл регулятора недвусмысленно дает понять взятый курс. Отсюда простой вывод (как мне кажется) - коммерческим компаниям надо прекратить заморачиваться вопросом с сертификацией по требованиям безопасности (на безопасность это не влияет никак, а ограничивает очень сильно), а государственным органам можно только посочувствовать - возможности выбора ими средств защиты станут с одной стороны проще (продуктов останется совсем мало), а с другой стороны сложнее (конкуренция падает, а за ней и качество).

ЗЫ. Но есть и хорошие новости. Но после обеда :-)

1 комментарий:

  1. ... и поэтому в очередной раз возникают вопросы:
    Какие документы должен разработать оператор негосударственной ИСПДн или субъект КИИ, и как должен быть выстроен процесс оценки соответствия средств защиты информации или в целом ИС/ОКИИ в форме "приемка в эксплуатацию"? Это не сертификация, и не "испытание". Тогда что? Проверить в технической документации наличие механизмов защиты, обеспечивающих выполнение установленных мер защиты и составить Акт ввода в эксплуатацию с указанием соответствия системы требованиям по безопасности какого-то уровня или класса защищенности (значимости)? Существуют НПА регулирующие этот процесс?

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.