Фото: Дмитрий Коротаев / Коммерсантъ
Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила обновленные требования к программному обеспечению из сферы информационной безопасности. Так, разработчики и производители антивирусов, файерволлов и другого ПО должны до конца года провести испытания по выявлению уязвимостей и недекларированных возможностей.
Участники рынка считают, что эти меры приведут к повышению затрат на прохождение сертификации и к дальнейшему сокращению числа иностранных поставщиков в российском госсекторе.
Что касается самого ПО, то ФСТЭК требует соответствия новым правилам широкого спектра программных продуктов, включая антивирусы, межсетевые экраны, софт в сфере борьбы со спамом и защиты веб-трафика, системы защиты от утечек информации и защищенные операционные системы.
Требования регулятора вступают в силу с 1 июня 2019 года. Разработчики ПО, которое подлежит анализу должны сотрудничать с представителями испытательных лабораторий ФСТЭК, проведя оценку соответствия своих продуктов новым требованиям. Также им нужно провести испытания по выявлению уязвимостей и недекларированных возможностей до 1 января 2020 года. В противном случае действие сертификатов будет приостановлено.
По мнению представителей рынка, прежний руководящий документ, который регулирует софт указанных видов уже устарел. Но вот реализация нового может привести к появлению новых проблем. «Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах СЗИ в какой-то момент могут оказаться без действующих сертификатов»,— заявил в комментарии «Коммерсанту» один из участников рынка.
С этим мнением согласен и главный конструктор Astra Linux Юрий Соснин: «Реализация новых требований — достаточно серьезная работа: анализ, разработка продукта, его непрерывное сопровождение и устранение недостатков». В то же время ужесточение требований позволит отсеять недобросовестных участников рынка, считает он.
Стоит отметить, что основные проблемы возникнут не у отечественных, а зарубежных разработчиков. Дело в том, что одно из главных требований проверки недекларируемых возможностей — передача исходного кода решений. Для того разработчики должны описать каждую функцию и механизм работы. Для крупных разработчиков ситуация, в которой они открывают исходный код своих программных продуктов в большинстве случаев невозможна. Поэтому уже в ближайшее время объем закупаемых отечественными органами иностранных средств защиты будет снижен.
Кроме того, предоставление исходных кодов с определенного времени запрещается законодательством ряда стран, поэтому иностранные производители вряд ли смогут пройти сертификацию. А это обязательно для компаний, которые желают работать с госорганами и госкомпаниями. Для поставщиков антивирусного ПО это важно, поскольку до половины всего рынка информационной безопасности в РФ приходится на госорганы и государственные корпорации. До недавнего времени этот рынок занимали решения зарубежных компаний, сейчас же ситуация может измениться.
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
- Не пишите оскорбительных комментариев, не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
- Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.
Что делать, если: минусуют карму | заблокировали аккаунт
> Кодекс авторов Хабра и хабраэтикет
> Полная версия правил сайта
Комментарии (31)
stepuncius
09.04.2019 15:54Кроме того, предоставление исходных кодов с определенного времени запрещается законодательством ряда стран
А можно поподробнее:
1) Я правильно понял, что компании может быть запрещено предоставлять кому-либо (или кому-то конкретному) её же написанный исходный код?
2) Можно примеры стран и компаний?
3) Какова логика? Чьи интересы затронет то, что я покажу свои исходники своим клиентам?IvaYan
09.04.2019 16:13Я не знаю подробностей, но могу предположить.
Какова логика? Чьи интересы затронет то, что я покажу свои исходники своим клиентам?
Интересы других клиентов, которые используют ваш софт. Клиент, который видел код может обнаружить в нём уязвимость или недокументрованную возможность, которую вы внедрили по настойчивой просьбе ваших локальных спецслужб, а затем использовать их (уязвимость и НДВ) против других ваших клиентов.
Quitest
09.04.2019 16:42Какова логика? Чьи интересы затронет то, что я покажу свои исходники своим клиентам?
Попадалась мне новость о том, что министерство обороны США будет отказываться покупать ПО тех, кто показывал исходники другим странам. Логику уже объяснил IvaYan.
Пример комании — Microsoft. У них есть сертифицированные по требованиям ФСТЭК, нашего МО и, кажется, ФСБ версии СУБД и ОС. Если еще и исходиники покажут этих продуктов, то это серьезный удар по информационной безопасности США будет.
Запрещать, думаю, не станут. Как Вы думаете кого выберет MS в качестве покупателя, если будет выбор США или иное государство?
Am0ralist
09.04.2019 16:46Если еще и исходиники покажут этих продуктов, то это серьезный удар по информационной безопасности США будет.
Так МС вроде как и показывает исходники…
medotkato
11.04.2019 00:01Попадалась мне новость о том, что министерство обороны США будет отказываться покупать ПО тех, кто показывал исходники другим странам. Логику уже объяснил IvaYan.
Не обязательно будет, но может. Появляется некий риск, но тут вендоры уже соотносят риски и прибыль. Плюс, наверняка, на таком уровне, как Microsoft, включаются свои лоббистские рычаги.
У них есть сертифицированные по требованиям ФСТЭК, нашего МО и, кажется, ФСБ версии СУБД и ОС
Если сертифицировали на НДВ (недекларируемые возможности) 4 уровня и выше (3,2,1), по старому РД НДВ то не могли не показывать.
rsashka
09.04.2019 19:26+1Возможная причина отказа иностранных вендоров от сертификации ( safe.cnews.ru/news/top/2019-04-09_gosudarstvo_zastavit_rossijskih_ibvendorov_potratitsya )
Напомним, что в августе 2018 г. президент США Дональд Трамп (Donald Trump) подписал закон H.R.5515. В соответствии с ним Министерству обороны США разрешается отказываться от использования ИТ-решений или технологий информационной безопасности, если выявлен факт проведения анализа исходного кода этих решений иностранными государственными структурами и иными организациями, под определение которых попадает и ФСТЭК.
medotkato
10.04.2019 23:54Вот этот параграф 1655 в первоисточнике (закон H.R. 5515 на сайте Конгресса): www.congress.gov/bill/115th-congress/house-bill/5515/text#toc-H446400AAA598419DADB2E6D9D3B06CEF
В двух словах: если иностранный вендор открыл иностранцам (например, русским) код, то обязан об этом сообщить при поставке ПО для нужд Минобороны США. Те, в свою очередь, вправе при такой покупке проверить, а нет ли тут «risk to the national security infrastructure or data of the United States, or any national security system under the control of the Department» и принять какие-то дополнительные меры «защиты» (доп. условия / требования в контракт) вплоть до непрописанного, но подразумеваемого отказа от приобретения такого софта.
Quitest
09.04.2019 15:54А как это применимо к популярной у нас теме выпуска брендированного опенсорса, накрытого сертификатами?
У нас есть опенсорс с сертифиатами ФСТЭК? А можно пример? Насколько я знаю сертифицируются только средства защиты информации, а не всякие OpenOffice и LibreOffice…Vegatron
09.04.2019 16:11Например некоторые творения компании эшелон брэндированный опенсорс. Там конечно средства защиты, не офис, но опенсорсные в девичестве )
IRT
09.04.2019 17:39Есть AstraLinux, у ее версии Special Edition есть сертификат ФСТЭК.
Vegatron
09.04.2019 17:53Да да, это прямо на поверхности. Но тут опять же вопрос — сертификат имеет ОС со всем содержимым, или же ОС считается сертифицированной, если какие-то специальные ее компоненты сертифицированы? Это же не монолит.
koluka
10.04.2019 10:06Думаю, все проще: занесли денег за эту копию — молодцы, не занесли — преступники и надо штраф платить… Если бы они озаботились безопасностью — сертифицировались бы схемы защиты/комплекты ПО с конфигами настроек/схемы подключения и настройки оборудования/etc.
cuwHuk
10.04.2019 13:04Сертифицируются все компоненты ОС. Устанавливаемое на эту ОС стороннее ПО сертифицирует производитель этого ПО. За установку несертифицированного ПО несет ответственность тот, кто его установил/разрешил установить. В зависимости от класса защиты от несанкционированного доступа в состав вычислительного средства могут входить как простейшие средства защиты вроде логинов/паролей, так и специализированное ПО, аппаратные средства защиты и т.д. вплоть до ограничения физического доступа.
koluka
11.04.2019 13:40так я про то же, от того, что iptables сертифицированы никаких безопасных настроек автоматом не образуется, каждый делает в меру своего разумения и ума…
Были бы инструкции про подсети, их взаимодействие и настройку маршрутизации/фильтрации/подключению снаружи/политики логирования подключений/политики оповещения ответственных на конкретные события — толку было бы гораздо больше, чем от сертификации свободного ПО, которое и так уже перелазили вдоль и поперек. Достаточно было бы пометки: использовать только стабильные версии перечисленных ОС, но денег так не получить…cuwHuk
11.04.2019 15:40Сертификация предназначена для гарантии (в идеале, конечно) отсутствия бэкдоров, не обязательно сетевых, но и, например, передача информации через флешки. Можно придумать какие-нибудь экзотические способы передачи, например, через видеосигнал монитора или ультразвуком через динамики; я не знаю, насколько такое возможно на практике, но в теории почему бы и нет, история знает подобные прецеденты (известный «Златоуст»).
Настройка iptables — это обязанность уже службы безопасности. И одно другого не исключает.Vegatron
11.04.2019 16:33Так они реально анализируют код на отсуствие бэкдоров? И как, успешно?
А уязвимости? А как быть, когда сертификат выдается на код, в котором потом обнаруживается уязвимость, сертификат отзывается/приостанавливается до момента релиза фикса?
cuwHuk
11.04.2019 20:23Проводит ли реально кто-то анализ кода или просто через некоторое время ставят штамп «сертифицированно» я не знаю, но однажды был вынужден ознакомиться с вопросом «защита от несанкционированного доступа», пришлось почитать соответствующие документы, которые я очень кратко резюмировал в своем комментарии.
Про случаи отзыва сертификатов по причине найденных уязвимостей никогда не слышал. Вообще все ГОСТы и прочие документы обычно отстают от реальной жизни лет на 20-40, когда нормативная база по сертификации разрабатывалась, опенсорс и публикация информации по уязвимостям были в зачаточном состоянии.
koluka
09.04.2019 16:42а как же прикручивание админ панели на порт 1917 с логином lenin и паролем vsegdashiv?
видно закон еще не полностью проработан.
DarkWanderer
10.04.2019 10:16-1Скоро на рынке: McAfee Popov Edition, с нескучными обоями и отсутствием лицензионных платежей "за рубеж"
firedragon
10.04.2019 17:01Если исходить из логики OpenSource, компаниям нечего скрывать, если конечно там нет закладок. Посмотрят и успокоятся. Плюс будет бэджик «Прошло проверку КАКАЯ НИБУДЬ АББРЕВИАТУРА».
Но зная наших законотворцев, думаю обяжут платить за эту процедуру, а проверки как таковой не будет.
Mykola_Von_Raybokobylko
10.04.2019 17:13Меня терзают смутные сомнения.
1. В письме от регулятора не совсем ясно прописано о решениях в которых используются те или иные модули по безопасности, но сами комплексные решения не являются продуктами по безопасности.
2. В дополнение к замечанию про предоставление исходного кода на НДВ. Часть решений как по безопасности так и общего пользования являются товарами двойного назначения по классификации в США. Межсетевой экран, тепловизор, обычный 8 портовый свич или бордер раутер, являются товарами двойного назначения.
3. В случае отказа зарубежных производителей сотрудничать с российскими органами и дальнейшем оттоком и сворачиванием бизнеса в России и Евразийском Союзе, это приведет в лучшем случаю к замораживанию проектов и пополнению рядов безработных из интеграторов и других структур. В худшем варианте это приведет к деградации и отказам в существующих системах.
Увы пока имеется изъян. Куча иностранных решений, аналогов российского производства нет и вероятно не предвидится, как и наоборот. Куча решений, как иностранных так и отечественных, с открытым или даже закрытым кодом не могут быть использованы в государственных информационных системах даже если сто раз пройдут сертификацию.
medotkato
11.04.2019 00:181. Ничего неожиданного или сверхъестественного не произошло. Новые требования разрабатывались давно. Собирались вводить с мая, а вот теперь из первоисточника на сайте ФСТЭК читаем про 1 июня.
2. Уровней доверия 6 (от большего к меньшему увеличивается строгость требований). На 5 и 6, насколько я знаю, исходный код показывать не нужно (только подготовить пачку документации и пройти сертификационные испытания). Исходники открываются только с 4 уровня.
Если иностранный поставщик ранее получал сертификат ФСТЭК по 4 уровню НДВ для какой-то поставки в госорган, значит, показывал исходники при сертификационных испытаниях. Если теперь покупатель выставит ему требование пересертифицировать софт на 4 уровень доверия по новым требованиям (как рекомендует ФСТЭК в своем информационном сообщении), то для вендора глобально («надо показывать исходники») ничего не изменится, за исключением одной хитрой детали — согласно п. 13 прошлогоднего приказа ФСТЭК №55, переопределившему процедуру сертификации, сертификационные испытания проводятся в России.
А вот захочет ли вендор (тот же MS) вывозить/передавать исходники из своей страны в РФ и демонстрировать их тут — это вопрос, на который каждый из них будет отвечать индивидуально.
Vegatron
Вот очень интересный для меня вопрос, может быть те, кто в теме, ответят?
А как это применимо к популярной у нас теме выпуска брендированного опенсорса, накрытого сертификатами?
Они что описывают каждую функцию и механизм работы какого-нибудь Libreoffice? :)
Когда я сталкивался с этим вопросом, довольно таки давно, лет 7 назад, ни о каком анализе исходников речи и не шло. Если проверка и была, то чисто формальная и автоматизированными тулами, и естественно никто ничего не описывал.
Что-то реально изменилось, и исходники теперь анализируются, описываются и комментируются?
Anton23
Угу, называется «документация»
ivtst1
Это относится только к программному обеспечению из сферы информационной безопасности. К Libreoffice и остальному софту требования пока не меняются.
rsashka
Кажется не все функции подряд, а только те функции, которые относятся к реализации механизмов безопасности.
Barafu_Albino_Cheetah
Вы когда-нибудь паспорт от матерники листали? «Option: Bus Spread Spectrum. Possible values: On, Off. Function: Turns on or off Bus Spread Spectrum». Такую документацию можно программно генерировать из исходников.
rsashka
Я говорил про сертификационную документацию. А паспорт от материки к такой не относится.