Государство заставит ИБ-вендоров потратиться, чтобы заново пройти сертификацию на отсутствие уязвимостей в своих продуктах, устанавливаемых в госструктурах. Это может привести к тому, что иностранные ИБ-вендоры уйдут с российского рынка.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила новые Требования по безопасности информации, устанавливающие уровни доверия к средствам технической зашиты и средствам обеспечения безопасности ИТ. Информационное сообщение ФСТЭК России от 29 марта 2019 г. N 240/24/1525 было размещено на официальном сайте ведомства (https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525).
Требования к уровню доверия подлежат применению при сертификации средств защиты информации с 1 июня 2019 г. После указанной даты выполнение Требований к уровню доверия является обязательным.
Новые требования к уровням доверия предназначены для разработчиков и производителей программных и npoграммно-аппаратных средств защиты информации, средств обеспечения безопасности ИТ, включая защищенные средства обработки информации. Теперь им потребуется заново пройти сертификацию. ФСТЭК рекомендует привлекать испытательные лаборатории для проведения оценки соответствия средств защиты информации согласно новым требованиям к уровням доверия. Полученные результаты должны быть представлены в ФСТЭК России для переоформления сертификатов соответствия.
Действие сертификатов соответствия, в отношении которых оценка соответствия не будет проведена до 1 января 2020 г., может быть приостановлено.
По оценкам экспертов отрасли, выполнение новых предписаний потребует от отечественных вендоров дополнительных инвестиций. В то же время ожидается, что благодаря новой сертификации существенно снизится присутствие в госсекторе ИБ-продуктов иностранного производства.
Новые требования к ИБ-решениям
Новый перечень требований, утвержденный ФСТЭК России, делит разработки, производства и поддержки безопасности средств защиты информации (СЗИ) в зависимости от присвоенного им уровня доверия.
Средствами защиты информации ФСТЭК считает межсетевые экраны, средства обнаружения вторжений, антивирусные программы, средства доверенной загрузки и контроля съемных носителей, а также прочие решения в области ИБ.
В соответствии с новыми правилами, для СЗИ устанавливается шесть уровней доверия. Самый низкий уровень – шестой, самый высокий – первый. Средства защиты информации, соответствующие, первому, второму и третьему уровням доверия, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Средства защиты информации, соответствующие четвертому, пятому и шестому уровню доверия, подлежат применению в значимых объектах критической информационной инфраструктуры, в государственных информационных системах, в автоматизированных системах управления производственными и технологическими процессами, в информационных системах персональных данных, соответственно 1, 2 или 3 уровня защищенности.
По новым правилам в отношении СЗИ должны быть проведены испытания по выявлению уязвимостей и недекларированных возможностей («закладок», «бэкдоров») в соответствии с методикой, разработанной и утвержденной ФСТЭК в феврале 2019 г.
Есть ли место для конкуренции?
Принятие новых требований ФСТЭК выводит на первый план вопрос, сохранится ли конкуренция на российском рынке программных разработок средств защиты информации. Для оценки ситуации, необходимо напомнить о важных изменениях, которые произошли год назад в позиции иностранных производителей софта для ИБ.
Как сообщал Reuters (https://www.reuters.com/article/us-usa-cyber-russia/tech-firms-let-russia-probe-software-widely-used-by-u-s-government-idUSKBN1FE1DT), американские законодатели, разжигаемые страхами об «искушенных кибер-противниках из России» высказали тогда беспокойство, что программные продукты, которые защищают наиболее уязвимые области правительства США, включая Пентагон, НАСА, Госдепартамент, ФБР и разведывательное сообщество, передаются в руки российских ведомств с раскрытием их исходного кода. Это делается с целью проверки на отсутствие уязвимостей, «закладок» и «бэкдоров».
Особенно сильно эти страхи стали нагнетаться в октябре 2017 года, когда стало известно, что программная разработка ArcSight компании HPE, активно используемая для защиты компьютеров в Пентагоне, прошла проверку у российского военного подрядчика, имеющего тесные связи с российскими службами безопасности. Тогда отмечалось, что помимо Пентагона, ArcSight также активно применялась по меньшей мере в семи других государственных агентствах США, включая Канцелярию директора Национальной разведки и разведывательное подразделение Госдепартамента.
После этого законодатели США всерьез заговорили о том, что продукты, произведенные SAP, Symantec и McAfee, также проходили проверку российских властей, хотя они активно используются как минимум в восьми государственных агентствах США. Представители McAfee, SAP, Symantec и Micro Focus заявили тогда, что все проверки исходного кода проводились под наблюдением производителя ПО в безопасных средствах, где код нельзя было удалить или изменить. Этот процесс не ставил под угрозу безопасность продукта, заявили они. Но Пентагон отреагировал на эти заявлением тем, что заявил: «Проверки исходного кода Россией и Китаем могут помочь этим странам в обнаружении уязвимостей в этих продуктах».
На фоне растущей озабоченности Symantec и McAfee заявили тогда, что больше не разрешают проводить такие проверки. Как отметил Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems, доля России в бизнесе иностранных ИБ-компаний мизерна, поэтому шансы того, что иностранные поставщики ИБ-решений откажутся от привлекательных контрактов с МО США в пользу прохождения сертификации ФСТЭК, невелики.
Таким образом, принятие новых требований ФСТЭК может привести к тому, что скоро в этом сегменте в России не останется иностранного ПО.