Стало известно о новых требованиях ФСТЭК, которые, как полагают многие специалисты, способны привести к сокращению числа иностранных поставщиков в российском государственном секторе. Производители должны до конца года протестировать свое программное обеспечение на наличие уязвимостей и недекларированных возможностей, сообщает «Коммерсантъ».
Участники рынка полагают, что такой подход приведет к значительным затратам на прохождение сертификации. В частности, ФСТЭК предъявляет новые требования к средствам защиты информации (СЗИ), среди которых антивирусы, межсетевые экраны, программы для борьбы со спамом и защиты трафика, системы защиты от утечек информации и специальные защищенные операционные системы.
Начиная с 1 июня 2019 года, когда требования вступят в силу, разработчики СЗИ обязаны будут убедиться, что их продукты соответствуют новым правилам. Оценка продуктов будет проводиться при участии испытательных лабораторий ФСТЭК. До 1 января 2020 года разработчики должны будут выявить уязвимости и недекларированные возможности. В противном случае действие их сертификатов может быть приостановлено. «Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах СЗИ в какой-то момент могут оказаться без действующих сертификатов»,— цитирует издание представителя компании-разработчика.
Помимо этого, эксперты отмечают и другой важный нюанс — одним из ключевых требований проверки недекларируемых возможностей является передача исходного кода решений с описанием каждой функции и механизма работы. Специалисты отмечают, что крупные компании на такое никогда не пойдут.
Потребуются существенные инвестиции в разработку и сопровождение продуктов. Реализация новых требований — достаточно серьезная работа: анализ, разработка продукта, его непрерывное сопровождение и устранение недостатков. Если для российских компаний процедура соответствия хоть и сложна, но выполнима, то для иностранных это может стать серьезной проблемой. Одно из ключевых требований проверки недекларируемых возможностей — передача исходного кода решений с описанием каждой функции и механизма работы. Крупные разработчики исходный код решения никогда не предоставят, так как это конфиденциальная информация, составляющая коммерческую тайну. Поэтому в ближайшее время стоит ожидать уменьшения количества иностранных средств защиты в российских госорганах и структурах. Для российских компаний это скорее на руку, так как обеспечит снижение конкуренции с международными разработчиками при работе с госсектором, считают эксперты.
Предоставление исходных кодов недавно стало запрещено законодательствами ряда стран, поэтому иностранные производители вряд ли смогут пройти сертификацию на высокие уровни доверия, что обязательно для тех, кто хочет работать с госорганами и госкомпаниями. Согласно экспертным оценкам, сейчас до половины всего рынка информационной безопасности в России приходится на госорганы и госкорпорации, причем до недавнего времени две трети его занимали решения зарубежных компаний. Но изменения в законодательстве уже привели к тому, что число сертификатов на зарубежные СЗИ сократилось и теперь составляет пятую часть от общего числа.
Тем временем Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации ввело в эксплуатацию Единый реестр программ для электронных вычислительных машин и баз данных государств – членов Евразийского экономического союза (ЕАЭС). Включение в реестр программных продуктов позволяет их правообладателям участвовать в госзакупках в России наравне с российскими компаниями.