Требования к софту в сфере кибербезопасности ужесточаются

ФСТЭК утвердила новые требования к средствам защиты информации (СЗИ), сообщила служба. Они распространяются в том числе на антивирусы, межсетевые экраны, софт в области борьбы со спамом и защиты веб-трафика, системы защиты от утечек информации и защищенные операционные системы. Требования вступят в силу с 1 июня 2019 года. Разработчики и производители решений в этой сфере должны будут с привлечением испытательных лабораторий ФСТЭК провести оценку соответствия своих продуктов новым требованиям и провести испытания по выявлению уязвимостей и недекларированных возможностей до 1 января 2020 года, иначе действие их сертификатов может быть приостановлено.

Прежний руководящий документ в этой области устарел, но с реализацией нового возможны проблемы, считают собеседники “Ъ” на рынке кибербезопасности. «Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах СЗИ в какой-то момент могут оказаться без действующих сертификатов»,— опасается представитель компании-разработчика.

подробно

Фото: Дмитрий Коротаев / Коммерсантъ | купить фото

Антивирусам обновят сертификат
Требования к софту в сфере кибербезопасности ужесточаются

Газета «Коммерсантъ» №62 от 09.04.2019, стр. 10
Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила новые требования к софту в области кибербезопасности. Его разработчики и производители до конца года должны провести испытания по выявлению уязвимостей и недекларированных возможностей. По мнению участников рынка, это потребует значительных затрат на прохождение сертификации и приведет к дальнейшему сокращению числа иностранных поставщиков в российском госсекторе.

ФСТЭК утвердила новые требования к средствам защиты информации (СЗИ), сообщила служба. Они распространяются в том числе на антивирусы, межсетевые экраны, софт в области борьбы со спамом и защиты веб-трафика, системы защиты от утечек информации и защищенные операционные системы. Требования вступят в силу с 1 июня 2019 года. Разработчики и производители решений в этой сфере должны будут с привлечением испытательных лабораторий ФСТЭК провести оценку соответствия своих продуктов новым требованиям и провести испытания по выявлению уязвимостей и недекларированных возможностей до 1 января 2020 года, иначе действие их сертификатов может быть приостановлено.

Прежний руководящий документ в этой области устарел, но с реализацией нового возможны проблемы, считают собеседники “Ъ” на рынке кибербезопасности. «Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах СЗИ в какой-то момент могут оказаться без действующих сертификатов»,— опасается представитель компании-разработчика.

Потребуются существенные инвестиции в разработку и сопровождение продуктов, согласен главный конструктор Astra Linux Юрий Соснин: «Реализация новых требований — достаточно серьезная работа: анализ, разработка продукта, его непрерывное сопровождение и устранение недостатков». В то же время ужесточение требований позволит отсеять недобросовестных участников рынка, считает он.

Если для российских компаний процедура соответствия хоть и сложна, но выполнима, то для иностранных это может стать серьезной проблемой, полагает директор по технологиям компании «Инфосекьюрити» Никита Пинчук. «Одно из ключевых требований проверки недекларируемых возможностей — передача исходного кода решений с описанием каждой функции и механизма работы. Крупные разработчики исходный код решения никогда не предоставят, так как это конфиденциальная информация, составляющая коммерческую тайну»,— поясняет он. Поэтому в ближайшее время стоит ожидать уменьшения количества иностранных средств защиты в российских госорганах и структурах, уверен господин Пинчук. Для российских компаний это скорее на руку, так как обеспечит снижение конкуренции с международными разработчиками при работе с госсектором, считает эксперт.

Источник: Коммерсант