О том, что ряд ИТ-компаний может не успеть обновить сертификат на средства защиты информации, который требуется для продажи программного обеспечения и оборудования в госорганы и отдельные госкомпании, РБК рассказали несколько участников рынка. В частности, проблемы признали представители разработчика офисного софта «Новые облачные технологии» (НОТ) и «Лаборатории Касперского».
Кто и с какими трудностями может столкнуться, разбирался РБК.
С 1 января 2020 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) может приостановить действие сертификатов соответствия средств защиты информации, если разработчики и производители этих средств не проведут переоценку их соответствия уровням доверия, предупреждало ведомство в марте этого года. Это значит, что такие средства нельзя будет применять в государственных информационных системах и информационных системах персональных данных. Переоценку нужно проводить по правилам, которые вступили в силу с 1 июня. Разработчики и производители средств защиты информации должны с помощью специальных лабораторий оценить, соответствуют ли их средства новым требованиям, и представить данные во ФСТЭК для переоформления сертификата.
Но, как сообщили РБК несколько участников ИТ-рынка, новые требования более жесткие и предусматривают полный доступ к исходному коду продукта для проверки на предмет наличия недекларированных возможностей (так называемые закладки или скрытые функции, которые, например, приводят к нарушению конфиденциальности).
Эту информацию РБК подтвердила руководитель группы сертификации «Лаборатории Касперского» Карина Нападовская. «Чтобы начать процесс сертификации, любой вендор должен будет предоставить для анализа исходный код своих продуктов, но не все вендоры могут себе это позволить в связи с собственными политиками безопасности», — отметила она.
На данный момент в реестре сертифицированных средств защиты информации более 4,1 тыс. наименований, следует из данных на сайте ФСТЭК. Например, в середине прошлого года ФГУП «Предприятие по поставкам продукции управления делами президента Российской Федерации» и ООО «Сертифицированные информационные системы груп» («СИС Груп») получили сертификат на операционную систему Microsoft Windows Server 2016, а в начале этого года — на программный комплекс Microsoft Project Server 2016 и cистему управления базами данных Microsoft SQL Server 2017, следует из реестра. Документы действуют до 2021, 2023 и 2024 года соответственно. В середине 2018 года российская «дочка» SAP, ООО «САП СНГ», получила сертификаты на несколько своих продуктов, которые действуют до середины 2024 года. ООО «Сател» в апреле получило сертификат на несколько моделей межсетевого экрана Huawei.
Из общего количества сертификатов в реестре 36 были выданы после 1 июня. Но, как утверждает руководитель службы информбезопасности НОТ Александр Буравцов, на данный момент в реестре нет средств, сертифицированных по новым правилам. С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет, и даже сертификаты, выданные в конце августа, оформлялись по старым требованиям, отметил он. Представитель ФСТЭК не ответил на вопросы РБК.
Сертификат может получить только российское юрлицо (разработчик, заказчик, «дочка» вендора, дистрибьютор и т.д.), но раскрыть исходный код невозможно без участия или разрешения разработчика этого ПО. При этом для некоторых компаний из США действует прямой запрет на предоставление кода. «Значительная часть вендоров — это компании, поставляющие свои решения в американское Минобороны, а в 2018 году в США вышел фактический запрет таким компаниям на передачу исходного кода в ряд стран, включая Россию, — напоминает независимый эксперт в сфере информационной безопасности Алексей Лукацкий. — Компания-разработчик может запросить разрешение [на раскрытие кода], но, думаю, многие посчитают это нецелесообразным — из-за курса на импортозамещение российский рынок госорганов и госструктур для иностранных поставщиков значительно сократился».
Представитель «Сател» сообщил РБК, что в компании готовятся переоформлять все сертификаты, по которым являются заявителями. Он ожидает, что это потребует значительных временных затрат. Сейчас «Сател» «предпринимает все возможные действия для выполнения этой задачи в установленные новыми требованиями сроки».
Представитель SAP не ответил на вопрос РБК, будет ли компания раскрывать исходный код своих продуктов для получения сертификатов по новым требованиям. Собеседник РБК лишь отметил, что «новые требования им понятны». Представитель «СИС Груп» не ответил на момент публикации.
По словам Лукацкого, ФСТЭК не дала четких разъяснений о том, как проводить оценку, поэтому не все лаборатории берутся за такую работу. «Те компании, которые только сейчас задумываются о том, что необходимо обновлять сертификат, скорее всего, не успеют к 1 января. В этом случае ФСТЭК придется либо продлевать сроки действия старых сертификатов, либо отзывать их», — указал Лукацкий.
Нападовская жалуется, что вендоры сталкиваются с ограниченным количеством испытательных лабораторий. В штате последних есть специалисты, «чьих компетенций недостаточно для проведения сертификаций по новым требованиям ФСТЭК». По ее словам, «Лаборатория Касперского» планирует до 1 января переоформить сертификаты на основные продукты, а в первом квартале 2020 года — полностью соответствовать новым требованиям. «Если сертификаты не будут переоформлены, ФСТЭК имеет право запретить распространение продуктов. Однако сейчас «Лаборатория Касперского» делает все, чтобы не допустить такой ситуации», — сказала Нападовская.
Александр Буравцов говорит, что компания подала заявки на инспекционный контроль всех действующих решений 1 июня. «Испытательная лаборатория ФСТЭК сильно загружена большим количеством аналогичных работ по другим средствам защиты информации, но мы надеемся, что к новому году все сертификаты будут обновлены», — сказал он.
Буравцов считает, что, скорее всего, регулятор постарается сделать переход максимально мягким. «Но если на «переходное время» выпадет этап модернизации или создания информационной системы, заказчикам придется выбирать только из средств с обновленными сертификатами», — отметил он. При этом аннулирование старых сертификатов будет иметь «безусловно положительные моменты» для заказчиков, считает Александр Буравцов, — новые требования к сертификации дадут «больше гарантий безопасности при построении информационных систем».
По оценке TAdviser, в 2018 году общий объем ИТ-бюджетов российских госорганов составил 122,2 млрд руб. С 2015 года доля отечественного софта при госзакупках увеличилась с 20 до 65%, говорил замглавы Минкомсвязи Алексей Соколов в апреле 2019 года. Ведомство рассчитывает, что к 2024 году российским будет 90% ПО, закупаемого госорганами, и 70% — госкомпаниями.
Анна Балашова, Александра Посыпкина