Софт для госорганов будет обновляться только по приказу

04.04.2017 |

Автоматическая установка обновлений, ликвидирующих «дыры» в безопасности, запрещена постановлением правительства.

Неприятно, когда компьютер в самый неподходящий момент перезагружается, обновляя программное обеспечение. Офисные программы в российских госведомствах будут обновляться только после подтверждения пользователя или «уполномоченных сотрудников». Это хорошо для крупных структур с бдительными системными администраторами, но небольшие организации рискуют месяцами жить с «дырявым» софтом.

На днях постановлением правительства утверждены разработанные Минкомсвязи «Дополнительные требования к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения».

Именно софт из реестра российского ПО необходимо использовать в государственных и муниципальных организациях, кроме случаев, когда отечественных программ с необходимым функционалом просто не существует.

Восьмой пункт требований звучит так: «Обновления офисного программного обеспечения должны выполняться только после подтверждения со стороны пользователя офисного программного обеспечения или уполномоченных сотрудников».

— В сфере информационной безопасности есть соответствующие требования к порядку обновлений ПО в органах власти. Требование в пункте 8 в том числе согласовано с ФСБ и ФСТЭК и не противоречит установленным процедурам, — пояснили в Минкомсвязи.

Всё логично: многие госорганы имеют дело с конфиденциальной информацией и любое изменение используемого софта в них должно проверяться на предмет безопасности. Но выбранный порядок обновлений предъявляет большие требования к сознательности пользователей компьютеров и системных администраторов.

Киберпреступники, никак не связанные с разработчиками ПО, ищут и используют уязвимости в распространенных программах, напомнил антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

— Чем раньше устанавливаются обновления, тем лучше для пользователей этого ПО, — заявил он. — Многие патчи имеют прямое отношение к лечению еще не известных массово дыр.

По словам Легезо, у атакующих есть отдельный бизнес — анализ свежих обновлений и определение, какие «дыры» они закрывают, чтобы воспользоваться уязвимостями на тех машинах, куда «патчи» еще не установлены.

— Когда обновления имеют критический характер, связанный с информационной безопасностью, они должны иметь максимальный приоритет по тестированию и внедрению в производство, — заявил замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. — Если реализованы такие требования к самому ПО, нужны также изменения и в должностные инструкции уполномоченных сотрудников.

К слову, компания Microsoft для домашних пользователей обновляет Windows 10 автоматически. У корпоративных пользователей этой системы есть возможность выбрать, как устанавливать обновления, разъяснили в корпорации.

Есть в требованиях и другие нововведения. Все офисные системы, требующие авторизации пользователей, должны будут поддерживать регистрацию через сайт госуслуг (так называемую единую систему идентификации и аутентификации, ЕСИА).

— Государство ранее уже выражало желание, чтобы госслужащие идентифицировались в ЕСИА, — рассказал Дмитрий Комиссаров, гендиректор фирмы «Новые облачные технологии» (разработчик отечественного офисного пакета «МойОфис»). По его словам, реализовать это несложно. В «МойОфис» такая возможность должна появиться в апреле.

В ЕСИА уже зарегистрировано более 40 млн россиян, в том числе и госслужащие, напомнили в Минкомсвязи.

Еще одно требование к поставщикам софта для российских госорганов — круглосуточная поддержка пользователей по телефону и электронной почте на русском языке.