Государство заставит российских ИБ-вендоров потратиться, а «варягов» уйти
ФСТЭК утвердила новые требования к решениям в сфере информационной безопасности. В результате разработчики и производители будут вынуждены до конца 2019 г. провести оценку соответствия своих решений новым требованиям, что, по мнению специалистов, потребует от отечественных вендоров дополнительных инвестиций и существенно снизит присутствие импортных ИБ-продуктов в госсекторе.Новые требования к ИБ-решениям
Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила новый перечень требований к процессам разработки, производства и поддержки безопасности средств защиты информации (СЗИ) в зависимости от присвоенного им уровня доверия. Соответствующее информационное сообщение размещено на официальном сайте ведомства.
В соответствии с новыми правилами, для СЗИ устанавливается шесть уровней доверия. Самый низкий уровень – шестой, самый высокий – первый. Средства защиты информации, соответствующие, к примеру, первому, второму и третьему уровням доверия, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
По новым правилам в отношении СЗИ должны быть проведены испытания по выявлению уязвимостей и недекларированных возможностей («закладок», «бэкдоров») в соответствии с методикой, разработанной и утвержденной ФСТЭК в феврале 2019 г.
Средствами защиты информации ФСТЭК считает межсетевые экраны, средства обнаружения вторжений, антивирусные программы, средства доверенной загрузки и контроля съемных носителей, а также прочие решения в области ИБ.
Требования вступают в силу с 1 июня 2019 г. и касаются разработчиков и производителей программных и программно-аппаратных средств защиты информации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов, выполняющих работы по сертификации средств защиты на соответствие требованиям по безопасности информации.
Разработчикам и производителям СЗИ ведомство рекомендует провести оценку соответствия своих решений новым требованиям и представить результаты в ФСТЭК России для переоформления сертификатов соответствия до 1 января 2020 г., в противном случае действие сертификатов может быть приостановлено.
От ужесточения требований к СЗИ выиграют российские ИБ-вендоры
Газета «Коммерсант» в собственном материале, посвященном данной теме, приводит комментарии участников рынка решений в сфере ИБ, которых новые требования касаются непосредственно.
Так, по мнению главного конструктора Astra Linux Юрия Соснина, слова которого приводит издание, в связи с принятием новых требований бизнесу потребуются значительные инвестиции в разработку и сопровождение продуктов. С другой стороны, ужесточение требований позволит отсеять недобросовестных участников рынка, отмечает Соснин.
«Одно из ключевых требований проверки недекларируемых возможностей — передача исходного кода решений с описанием каждой функции и механизма работы», – цитирует «Коммерсант» директора по технологиям компании «Инфосекьюрити» Никиту Пинчука.
Пинчук считает, что иностранные разработчики решений в области ИБ предоставлять исходные коды откажутся, что естественным снизит количество СЗИ зарубежных вендоров в госструктурах. Это, в свою очередь, выгодно отечественным поставщикам ИБ-решений, которые смогут занять освободившуюся нишу.
Возможная причина отказа иностранных вендоров от сертификации
Напомним, что в августе 2018 г. президент США Дональд Трамп (Donald Trump) подписал закон H.R.5515. В соответствии с ним Министерству обороны США разрешается отказываться от использования ИТ-решений или технологий информационной безопасности, если выявлен факт проведения анализа исходного кода этих решений иностранными государственными структурами и иными организациями, под определение которых попадает и ФСТЭК.
Действие закона распространяется на структуры государств, которые, по мнению американских властей, являются угрозой безопасности для критической инфраструктуры государственных институтов США или их союзников, оказывают влияние на цепочки поставок, созданные в интересах США или замечены в хищении американской интеллектуальной собственности.
Как тогда отметил Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems, доля России в бизнесе иностранных ИБ-компаний мизерна, поэтому шансы того, что поставщики ИБ-решений откажутся от привлекательных контрактов с МО США в пользу прохождения сертификации ФСТЭК, невелики.