Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Очередные травмы в сборной Бразилии. Что происходит на ЧМ в Катаре Спорт, 18:01
Нидерланды — США. Онлайн первого матча 1/8 финала ЧМ Спорт, 18:00
Как построить платформу для скоростной обработки данных РБК и Cloud, 17:59
Россия и Белоруссия внесли изменения в соглашение о военной безопасности Политика, 17:55
Лучший защитник худшего клуба КХЛ перешел в СКА Спорт, 17:53
Бразильская газета сообщила, что Пеле больше не реагирует на химиотерапию Спорт, 17:37
Постпред России в Вене заявил, что Европа будет жить без российской нефти Политика, 17:18
Объясняем, что значат новости
Вечерняя рассылка РБК
Подписаться
Новогодний миллиард: почему лотереи помогают утилизировать стресс РБК и Столото, 17:15
Макрон предложил подумать о гарантиях безопасности для России Политика, 17:02
«Спартак» сыграет с «Локомотивом» в четвертьфинале Кубка России Спорт, 16:57
Салихова рассказала, что могло остановить Федуна от продажи «Спартака» Спорт, 16:42
«Спрятаться в домик»: почему для ребенка так важно иметь свою комнату РБК и AFI Park Воронцовский, 16:38
Военная операция на Украине. Онлайн Политика, 16:36
Кремль заявил об отсутствии новой информации о мобилизации Политика, 16:35
Новогодний Миллиард
Гарантированный
розыгрыш 1 000 000 000 рублей

Реклама, АО "ТК "Центр", АО «ТК «Центр», ОГРН 1127746385095. 18+

*Утверждение «Русское лото» — главная лотерея страны» основано на исследовании (публикация на ifors.ru от 20 мая 2022 года).

Технологии и медиа ,  
0 

Отказавшихся раскрыть исходный код разработчиков софта лишат госзаказов

С 1 января ряд ИТ-компаний может лишиться права работать с госорганами из-за усложнения правил сертификации. Новые требования обязывают их предоставлять исходный код продукта, и это может быть проблемой для зарубежных игроков
Фото: @hackcapital / unsplash
Фото: @hackcapital / unsplash

О том, что ряд ИТ-компаний может не успеть обновить сертификат на средства защиты информации, который требуется для продажи программного обеспечения и оборудования в госорганы и отдельные госкомпании, РБК рассказали несколько участников рынка. В частности, проблемы признали представители разработчика офисного софта «Новые облачные технологии» (НОТ) и «Лаборатории Касперского».

Кто и с какими трудностями может столкнуться, разбирался РБК.

Что поменяется с 1 января

С 1 января 2020 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) может приостановить действие сертификатов соответствия средств защиты информации, если разработчики и производители этих средств не проведут переоценку их соответствия уровням доверия, предупреждало ведомство в марте этого года. Это значит, что такие средства нельзя будет применять в государственных информационных системах и информационных системах персональных данных. Переоценку нужно проводить по правилам, которые вступили в силу с 1 июня. Разработчики и производители средств защиты информации должны с помощью специальных лабораторий оценить, соответствуют ли их средства новым требованиям, и представить данные во ФСТЭК для переоформления сертификата.

Но, как сообщили РБК несколько участников ИТ-рынка, новые требования более жесткие и предусматривают полный доступ к исходному коду продукта для проверки на предмет наличия недекларированных возможностей (так называемые закладки или скрытые функции, которые, например, приводят к нарушению конфиденциальности).

Эту информацию РБК подтвердила руководитель группы сертификации «Лаборатории Касперского» Карина Нападовская. «Чтобы начать процесс сертификации, любой вендор должен будет предоставить для анализа исходный код своих продуктов, но не все вендоры могут себе это позволить в связи с собственными политиками безопасности», — отметила она.

Кто может пострадать

На данный момент в реестре сертифицированных средств защиты информации более 4,1 тыс. наименований, следует из данных на сайте ФСТЭК. Например, в середине прошлого года ФГУП «Предприятие по поставкам продукции управления делами президента Российской Федерации» и ООО «Сертифицированные информационные системы груп» («СИС Груп») получили сертификат на операционную систему Microsoft Windows Server 2016, а в начале этого года — на программный комплекс Microsoft Project Server 2016 и cистему управления базами данных Microsoft SQL Server 2017, следует из реестра. Документы действуют до 2021, 2023 и 2024 года соответственно. В середине 2018 года российская «дочка» SAP, ООО «САП СНГ», получила сертификаты на несколько своих продуктов, которые действуют до середины 2024 года. ООО «Сател» в апреле получило сертификат на несколько моделей межсетевого экрана Huawei.

Из общего количества сертификатов в реестре 36 были выданы после 1 июня. Но, как утверждает руководитель службы информбезопасности НОТ Александр Буравцов, на данный момент в реестре нет средств, сертифицированных по новым правилам. С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет, и даже сертификаты, выданные в конце августа, оформлялись по старым требованиям, отметил он. Представитель ФСТЭК не ответил на вопросы РБК.

Сертификат может получить только российское юрлицо (разработчик, заказчик, «дочка» вендора, дистрибьютор и т.д.), но раскрыть исходный код невозможно без участия или разрешения разработчика этого ПО. При этом для некоторых компаний из США действует прямой запрет на предоставление кода. «Значительная часть вендоров — это компании, поставляющие свои решения в американское Минобороны, а в 2018 году в США вышел фактический запрет таким компаниям на передачу исходного кода в ряд стран, включая Россию, — напоминает независимый эксперт в сфере информационной безопасности Алексей Лукацкий. — Компания-разработчик может запросить разрешение [на раскрытие кода], но, думаю, многие посчитают это нецелесообразным — из-за курса на импортозамещение российский рынок госорганов и госструктур для иностранных поставщиков значительно сократился».

Представитель «Сател» сообщил РБК, что в компании готовятся переоформлять все сертификаты, по которым являются заявителями. Он ожидает, что это потребует значительных временных затрат. Сейчас «Сател» «предпринимает все возможные действия для выполнения этой задачи в установленные новыми требованиями сроки».

Представитель SAP не ответил на вопрос РБК, будет ли компания раскрывать исходный код своих продуктов для получения сертификатов по новым требованиям. Собеседник РБК лишь отметил, что «новые требования им понятны». Представитель «СИС Груп» не ответил на момент публикации.

Успеют ли российские игроки переоформить сертификаты

По словам Лукацкого, ФСТЭК не дала четких разъяснений о том, как проводить оценку, поэтому не все лаборатории берутся за такую работу. «Те компании, которые только сейчас задумываются о том, что необходимо обновлять сертификат, скорее всего, не успеют к 1 января. В этом случае ФСТЭК придется либо продлевать сроки действия старых сертификатов, либо отзывать их», — указал Лукацкий.

Нападовская жалуется, что вендоры сталкиваются с ограниченным количеством испытательных лабораторий, в которых есть сотрудники, чьих «компетенций достаточно для проведения сертификаций по новым требованиям ФСТЭК». По ее словам, «Лаборатория Касперского» планирует до 1 января переоформить сертификаты на основные продукты, а в первом квартале 2020 года — полностью соответствовать новым требованиям. «Если сертификаты не будут переоформлены, ФСТЭК имеет право запретить распространение продуктов. Однако сейчас «Лаборатория Касперского» делает все, чтобы не допустить такой ситуации», — сказала Нападовская.

Александр Буравцов говорит, что компания подала заявки на инспекционный контроль всех действующих решений 1 июня. «Испытательная лаборатория ФСТЭК сильно загружена большим количеством аналогичных работ по другим средствам защиты информации, но мы надеемся, что к новому году все сертификаты будут обновлены», — сказал он.

Буравцов считает, что, скорее всего, регулятор постарается сделать переход максимально мягким. «Но если на «переходное время» выпадет этап модернизации или создания информационной системы, заказчикам придется выбирать только из средств с обновленными сертификатами», — отметил он. При этом аннулирование старых сертификатов будет иметь «безусловно положительные моменты» для заказчиков, считает Александр Буравцов, — новые требования к сертификации дадут «больше гарантий безопасности при построении информационных систем».

По оценке TAdviser, в 2018 году общий объем ИТ-бюджетов российских госорганов составил 122,2 млрд руб. С 2015 года доля отечественного софта при госзакупках увеличилась с 20 до 65%, говорил замглавы Минкомсвязи Алексей Соколов в апреле 2019 года. Ведомство рассчитывает, что к 2024 году российским будет 90% ПО, закупаемого госорганами, и 70% — госкомпаниями.

Авторы
Теги