Отечественных разработчиков операционных систем и ИБ-продуктов планируется избавить от необходимости прохождения повторной сертификации в Федеральной службе по техническому и экспортному контролю в ситуациях, если они будут выпускать обновления к уже сертифицированным ранее продуктам. По словам опрошенных CISOCLUB экспертов, это «очень важная история».
По словам Антона Квардакова, заместителя начальника отдела ТЗКИ Cloud Networks, этот вопрос, конечно, относится больше к разработчикам средств защиты информации. “Мы, как интеграторы, безусловно следим за тем, что происходит в ИБ-индустрии. Слухи о сертификации продуктов ходили довольно давно. ФСТЭК ещё в 2016 году сообщал о том, что планирует перестать запрашивать постоянные сертификации при выпуске обновлений сертифицированных средств защиты. Скажу, что инициатива хорошая с точки зрения актуальности версий продуктов.
Антон Квадраков заявил, что не секрет, что актуальная версия того же Касперского сильно отличается от сертифицированной версии. Над процессом сертификации в каждом таком разработчике сертифицированных средств работает очень большое количество людей.
«Поэтому я думаю, что скорее всего нагрузка на них снизиться кратно. В дальнейшем это может привести к вопросу об актуальности численности работников в разработчике, отвечающих за сертификацию, а рынок в итоге будет охвачен уже более актуальными версиями продуктов», — отметил эксперт.
Ильмар Хабибулин, заместитель директора центра разработки и тестирования NGR Softlab, заявил: «Для нас, как производителя средств защиты информации, эта новость является положительной в том смысле, что реализация инициатив регулятора должна улучшить прогнозирование трудозатрат и сроков проведения сертификационных испытаний. Кроме того, это позволит готовиться к ним заранее, что, по информации от коллег из испытательных лабораторий, поможет значительно сократить время сертификации новых версий продуктов.
Ильмар Хабибулин подчеркнул, что потребуются дополнительные инвестиции в технологии и персонал, но в перспективе это даст возможность сохранить достаточную гибкость в поставке ценности заказчикам, использующим сертифицированные версии, без существенных задержек по срокам обновлений.
Дмитрий Михеев, технический директор компании «АйТи Бастион» уверен, что это крайне важная история, потому как сертификация ФСТЭК — это всегда дорого во всех смыслах этого слова.
«С одной стороны, лицензиат обязан выпускать обновления сертифицированного ПО. С другой, как правило, выпуск обновления означает, что это новое состояние ПО и его нельзя выкатывать поверх сертифицированной версии: продукт потеряет текущий сертифицированный статус и возникнет необходимость в полностью новой его сертификации.
Вот и получается довольно давно, что ПО может быть либо сертифицированным, либо актуальным. Что одинаково крайне неудобно как для его разработчиков, так и для пользователей.
Новация подразумевает выполнение определенного набора требований как со стороны компании-лицензиата, так и с точки зрения процедур разработки и выпуска сертифицированного ПО. Пока точной практики применения по этой теме нет. Мы все ее ждем, надеемся и верим, что сможем адаптироваться под эти требования, чтобы процедуру выпуска обновлений ПО можно было использовать для сертифицированных продуктов нашего производства», — резюмировал эксперт.
Андрей Мишуков, генеральный директор iTPROTECT: “Инициатива перспективная, она будет крайне полезна как для пользователей, так и для производителей сертифицированных средств защиты информации, т. к. в последнее время значительно увеличилась скорость обновления и выпуск новых релизов программного обеспечения.
Система сертификации обновлений продолжительностью в полгода уже не удовлетворяет требованиям рынка и требованиям безопасности по скорости исправления найденных ошибок и уязвимостей в программном обеспечении. Инициатива сертифицировать не конечные обновления программного обеспечения, а производство программного обеспечения так, чтобы новые версии выходили сразу «сертифицированными», позволит значительно сократить время обновления сертифицированных версий продуктов. При этом, конечно, такой подход увеличит стоимость производства ПО.
Много в этой инициативе зависит от конкретных требований, со стороны регулятора к такому процессу сертифицированного выпуска программного обеспечения. Возможно, производителям СЗИ будет выгоднее организовать такое производство, чем каждые полгода направлять на сертификацию очередную версию продукта. В целом, эта инициатива, при условии её внедрения, даст новый импульс реальной защищенности при использовании сертифицированных решений, и позволит избежать “бумажной безопасности”, когда сертификаты будут получаться только “для галочки”.
Руслан Рыхнов, менеджер по маркетингу и PR компании «Нума Технологии»: «Хотелось бы подчеркнуть, что вопрос, который обсуждается, уже давно находится в центре внимания Федеральной службы по техническому и экспортному контролю России (ФСТЭК России). В этом направлении активно ведется работа, с привлечением разработчиков средств защиты информации и ключевых участников системы сертификации – аккредитованных ФСТЭК России испытательных лаборатории и органов по сертификации.
В частности, для облегчения и ускорения процесса инспекционного контроля уже были внесены изменения в Приказ №55 ФСТЭК России относительно сертификации «безопасной разработки». ГОСТ Р №56939 по безопасной разработке представлен для публичного обсуждения», — отметил Руслан Рыхнов.
По словам эксперта, обсуждаемые изменения направлены на упрощение процесса инспекционного контроля средств защиты информации и сокращение времени рассмотрения свидетельств – протоколов и заключений, формируемых разработчиками СЗИ и испытательными лабораториями в ходе инспекционного контроля.
Сокращение времени на прохождение сертификации или инспекционного контроля за счет внедрения разработчиками процедур безопасной разработки безусловно положительно скажется на всех этапах жизненного цикла сертифицированных продуктов.
При этом представитель компании «Нума Технологии» отмечает, что эффективность безопасной разработки зависит от того, насколько разработчик качественно реализует и поддерживает внутренние процессы в соответствии с утвержденными стандартами разработки безопасного программного обеспечения (SDL).
Кроме того, требуется наличие квалифицированного инженерного персонала – специалистов, со вполне конкретными знаниями и навыками, которые смогут выполнять: статический и динамический анализ (включая фаззинг) кода, поиск уязвимостей CVE. Проблема доступности специалистов такой квалификации остается открытой для многих организаций, которые планируют реализацию процедур безопасной разработки. Актуальной остаётся и проблема обеспечения процедур безопасной разработки программными средствами их реализации.
«Наша компания имеет богатый опыт сертификации продуктов собственной разработки в системе сертификации ФСТЭК России. Благодаря реализованным внутренним процессам, время на сертификацию продуктов и проведение их контролей не превышает регламентированного Регулятором, мы получаем минимум замечаний к нашим документам. Ресурсы, затраченные нами на реализацию процедур безопасной разработки, в том числе позволяют планировать работу по плановому выпуску обновлений и новых версий наших продуктов, что в свою очередь повышает лояльность наших партнеров и конечных пользователей наших продуктов.
Эффективность и значимость процедур безопасной разработки можно продемонстрировать на примере нашей Серверной доверенной системы виртуализации Numa vServer, которая одной из первых в России была сертифицирована по новым требованиям к средствам виртуализации», — резюмировал эксперт.
Оригинал публикации на сайте CISOCLUB: "Разработчиков ИБ-решений ФСТЭК освободит от сертификации при выпуске обновлений".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
