Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила новые требования к софту в области кибербезопасности. Его разработчики и производители до конца года должны провести испытания по выявлению уязвимостей и недекларированных возможностей. По мнению участников рынка, это потребует значительных затрат на прохождение сертификации и приведет к дальнейшему сокращению числа иностранных поставщиков в российском госсекторе.
ФСТЭК утвердила новые требования к средствам защиты информации (СЗИ), сообщила служба. Они распространяются в том числе на антивирусы, межсетевые экраны, софт в области борьбы со спамом и защиты веб-трафика, системы защиты от утечек информации и защищенные операционные системы. Требования вступят в силу с 1 июня 2019 года. Разработчики и производители решений в этой сфере должны будут с привлечением испытательных лабораторий ФСТЭК провести оценку соответствия своих продуктов новым требованиям и провести испытания по выявлению уязвимостей и недекларированных возможностей до 1 января 2020 года, иначе действие их сертификатов может быть приостановлено.
Прежний руководящий документ в этой области устарел, но с реализацией нового возможны проблемы, считают собеседники “Ъ” на рынке кибербезопасности. «Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах СЗИ в какой-то момент могут оказаться без действующих сертификатов»,— опасается представитель компании-разработчика.
Потребуются существенные инвестиции в разработку и сопровождение продуктов, согласен главный конструктор Astra Linux Юрий Соснин: «Реализация новых требований — достаточно серьезная работа: анализ, разработка продукта, его непрерывное сопровождение и устранение недостатков». В то же время ужесточение требований позволит отсеять недобросовестных участников рынка, считает он.
Если для российских компаний процедура соответствия хоть и сложна, но выполнима, то для иностранных это может стать серьезной проблемой, полагает директор по технологиям компании «Инфосекьюрити» Никита Пинчук. «Одно из ключевых требований проверки недекларируемых возможностей — передача исходного кода решений с описанием каждой функции и механизма работы. Крупные разработчики исходный код решения никогда не предоставят, так как это конфиденциальная информация, составляющая коммерческую тайну»,— поясняет он. Поэтому в ближайшее время стоит ожидать уменьшения количества иностранных средств защиты в российских госорганах и структурах, уверен господин Пинчук. Для российских компаний это скорее на руку, так как обеспечит снижение конкуренции с международными разработчиками при работе с госсектором, считает эксперт.
Предоставление исходных кодов недавно стало запрещено законодательствами ряда стран, поэтому иностранные производители вряд ли смогут пройти сертификацию на высокие уровни доверия, что обязательно для тех, кто хочет работать с госорганами и госкомпаниями, подтверждает эксперт по кибербезопасности Алексей Лукацкий. Сейчас до половины всего рынка информационной безопасности в России приходится на госорганы и госкорпорации, причем до недавнего времени две трети его занимали решения зарубежных компаний, отмечает господин Лукацкий. Но изменения в законодательстве, добавляет он, уже привели к тому, что число сертификатов на зарубежные СЗИ сократилось и теперь составляет пятую часть от общего числа.