Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

Экспертное мнение

Минэкономразвития направило в правительство РФ несогласованный законопроект "Об электронных торгах" 15.11.2019 Минэкономразвития направило в правительство РФ несогласованный законопроект "Об электронных торгах"

"У площадок, работающих по госзаказу, и у площадок, занимающихся торгами, разная ментальность, - сказал "Интерфаксу" президент Национального союза "Совет по профессиональной деятельности в электронных торгах" Александр Бойко

подробнее

Статьи

15.11.2019

Опубликован закон о единой системе проверки движимого имущества на наличие залогов

подробнее

Рынок криптовалют

18.11.2019

Законопроект о легализации криптовалют внесен в парламент Украины

подробнее
/interview/711163/
Аккредитация на электронных торговых площадках, участие в торгах по банкротству и арестованному имуществу, услуги агента. Тел. +7 (915) 433-57-16

Интервью

С 1 января 2020 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) может приостановить действие сертификатов

Отказавшихся раскрыть исходный код разработчиков софта лишат госзаказов

Эксперт в сфере информационной безопасности Алексей Лукацкий  .О том, что ряд ИТ-компаний может не успеть обновить сертификат на средства защиты информации, который требуется для продажи программного обеспечения и оборудования в госорганы и отдельные госкомпании, РБК рассказали несколько участников рынка. В частности, проблемы признали представители разработчика офисного софта «Новые облачные технологии» (НОТ) и «Лаборатории Касперского».

Кто и с какими трудностями может столкнуться, разбирался РБК.

Что поменяется с 1 января

С 1 января 2020 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) может приостановить действие сертификатов соответствия средств защиты информации, если разработчики и производители этих средств не проведут переоценку их соответствия уровням доверия, предупреждало ведомство в марте этого года. Это значит, что такие средства нельзя будет применять в государственных информационных системах и информационных системах персональных данных. Переоценку нужно проводить по правилам, которые вступили в силу с 1 июня. Разработчики и производители средств защиты информации должны с помощью специальных лабораторий оценить, соответствуют ли их средства новым требованиям, и представить данные во ФСТЭК для переоформления сертификата.

Но, как сообщили РБК несколько участников ИТ-рынка, новые требования более жесткие и предусматривают полный доступ к исходному коду продукта для проверки на предмет наличия недекларированных возможностей (так называемые закладки или скрытые функции, которые, например, приводят к нарушению конфиденциальности).

Эту информацию РБК подтвердила руководитель группы сертификации «Лаборатории Касперского» Карина Нападовская. «Чтобы начать процесс сертификации, любой вендор должен будет предоставить для анализа исходный код своих продуктов, но не все вендоры могут себе это позволить в связи с собственными политиками безопасности», — отметила она.

Кто может пострадать

На данный момент в реестре сертифицированных средств защиты информации более 4,1 тыс. наименований, следует из данных на сайте ФСТЭК. Например, в середине прошлого года ФГУП «Предприятие по поставкам продукции управления делами президента Российской Федерации» и ООО «Сертифицированные информационные системы груп» («СИС Груп») получили сертификат на операционную систему Microsoft Windows Server 2016, а в начале этого года — на программный комплекс Microsoft Project Server 2016 и cистему управления базами данных Microsoft SQL Server 2017, следует из реестра. Документы действуют до 2021, 2023 и 2024 года соответственно. В середине 2018 года российская «дочка» SAP, ООО «САП СНГ», получила сертификаты на несколько своих продуктов, которые действуют до середины 2024 года. ООО «Сател» в апреле получило сертификат на несколько моделей межсетевого экрана Huawei.

Из общего количества сертификатов в реестре 36 были выданы после 1 июня. Но, как утверждает руководитель службы информбезопасности НОТ Александр Буравцов, на данный момент в реестре нет средств, сертифицированных по новым правилам. С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет, и даже сертификаты, выданные в конце августа, оформлялись по старым требованиям, отметил он. Представитель ФСТЭК не ответил на вопросы РБК.

Сертификат может получить только российское юрлицо (разработчик, заказчик, «дочка» вендора, дистрибьютор и т.д.), но раскрыть исходный код невозможно без участия или разрешения разработчика этого ПО. При этом для некоторых компаний из США действует прямой запрет на предоставление кода. «Значительная часть вендоров — это компании, поставляющие свои решения в американское Минобороны, а в 2018 году в США вышел фактический запрет таким компаниям на передачу исходного кода в ряд стран, включая Россию, — напоминает независимый эксперт в сфере информационной безопасности Алексей Лукацкий. — Компания-разработчик может запросить разрешение [на раскрытие кода], но, думаю, многие посчитают это нецелесообразным — из-за курса на импортозамещение российский рынок госорганов и госструктур для иностранных поставщиков значительно сократился».

Представитель SAP не ответил на вопрос РБК — будет ли компания раскрывать исходный код своих продуктов для получения сертификатов по новым требованиям. Собеседник РБК лишь отметил, что «новые требования им понятны».

Представители «СИС Груп» и «Сател» не ответили на момент публикации.

Успеют ли российские игроки переоформить сертификаты

По словам Лукацкого, ФСТЭК не дал четких разъяснений о том, как проводить оценку, поэтому не все лаборатории берутся за такую работу. «Те компании, которые только сейчас задумываются о том, что необходимо обновлять сертификат, скорее всего, не успеют к 1 января. В этом случае ФСТЭК придется либо продлевать сроки действия старых сертификатов, либо отзывать их», — указал Лукацкий.

Нападовская жалуется, что вендоры сталкиваются с ограниченным количеством испытательных лабораторий. В штате последних есть специалисты, «чьих компетенций недостаточно для проведения сертификаций по новым требованиям ФСТЭК». По ее словам, «Лаборатория Касперского» планирует до 1 января переоформить сертификаты на основные продукты, а в первом квартале 2020 года — полностью соответствовать новым требованиям. «Если сертификаты не будут переоформлены, ФСТЭК имеет право запретить распространение продуктов. Однако сейчас «Лаборатория Касперского» делает все, чтобы не допустить такой ситуации», — сказала Нападовская.

Александр Буравцов говорит, что компания подала заявки на инспекционный контроль всех действующих решений 1 июня. «Испытательная лаборатория ФСТЭК сильно загружена большим количеством аналогичных работ по другим средствам защиты информации, но мы надеемся, что к новому году все сертификаты будут обновлены», — сказал он.

Буравцов считает, что, скорее всего, регулятор постарается сделать переход максимально мягким. «Но если на «переходное время» выпадет этап модернизации или создания информационной системы, заказчикам придется выбирать только из средств с обновленными сертификатами», — отметил он. При этом аннулирование старых сертификатов будет иметь «безусловно положительные моменты» для заказчиков, считает Александр Буравцов, — новые требования к сертификации дадут «больше гарантий безопасности при построении информационных систем».

По оценке TAdviser, в 2018 году общий объем ИТ-бюджетов российских госорганов составил 122,2 млрд руб. С 2015 года доля отечественного софта при госзакупках увеличилась с 20 до 65%, говорил замглавы Минкомсвязи Алексей Соколов в апреле 2019 года. Ведомство рассчитывает, что к 2024 году российским будет 90% ПО, закупаемого госорганами, и 70% — госкомпаниями.

Подробнее на РБК


Возврат к списку

Позвоните нам бесплатно
Сегодня 19.11.2019

Блоги

В Крыму от приватизации шести предприятий ожидают получить 200 млн рублей

Власти Республики Крым рассчитывают получить не менее 200 млн рублей от приватизации шести государст...

Публикации

Госдума приняла в I чтении законопроект о регулировании в сфере электронной подписи 14.11.2019 Госдума приняла в I чтении законопроект о регулировании в сфере электронной подписи

«Собственный капитал удостоверяющих центров должен быть увеличен с 7 млн руб. до 500 млн и 1 млрд, размер страховой ответственности деятельности УЦ увеличивается с 30 млн до 300 и 500 млн рублей, срок аккредитации сокращается до трех лет - в настоящее время это 5 лет»

подробнее