Разработчиков софта избавят от необходимости сертифицировать обновления

Разработчики операционных систем и решений для информационной безопасности смогут не проходить повторной сертификации ФСТЭК для обновленных версий ранее сертифицированных решений. Об этом «Ведомостям» рассказал директор по развитию бизнеса Cloud.ru Михаил Лобоцкий и подтвердил директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи Сергей Демидов.

До конца 2024 г. ФСТЭК планирует сократить сроки повторной сертификации софта посредством введения процесса сертификации безопасной разработки, заявил Лобоцкий на ХХ форуме «Телеком 2024» газеты «Ведомости». Изменения, которые планирует внести ФСТЭК в процедуру проверки, позволят сократить сроки аттестации.

В кулуарах форума Лобоцкий уточнил, что сейчас процесс первичной сертификации продукта занимает минимум год, а пересертификации, необходимой для каждого обновления, – минимум полгода. «Этот процесс выглядит так: примерно год уходит на работу заявителя с испытательной лабораторией и органом по сертификации, после чего вместе с документами это передается во ФСТЭК. Суть изменений заключается в том, что ФСТЭК будет сертифицировать конвейер безопасной разработки продуктов компании. Т.е. имея на руках сертификат на процесс разработки, обновлять ранее сертифицированный софт будет в разы проще, дешевле и быстрее, – поясняет Лобоцкий. – Таким образом процесс пересертификации сократится до нескольких месяцев за счет отсутствия третьих организаций при проверках обновленного ПО».

В текущей конфигурации законодательного поля любые изменения в программном коде, например, в случае выявления уязвимости или программных ошибок в системах защиты информации требуют провести сертификацию заново, уточняет заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. «Процесс сертификации занимает месяцы. По закону надо ждать сертификации, оставляя информационную систему без защиты, или же обновить софт, но с точки зрения закона стать нарушителями», – сетует он.

В настоящее время процессы разработки софта проходят оценку соответствия, но она никак не влияет на сертификацию создаваемых средств защиты, подтверждает директор портфеля продуктов компании «Нота купол» Игорь Душа. По этой причине каждый раз, когда продукт обновлялся, необходимо было заново проходить либо инспекционный контроль, либо полноценную сертификацию в зависимости от масштаба изменений, соглашается он с Пермяковым.

Когда требовалась пересертификация обновлений ПО, об оперативности поставок обновлений речи не шло, подтверждает Душа. По словам эксперта, фактически складывалась ситуация, в которой приходилось выбирать между продажей старой версии продуктов и увеличением затрат на обновления. Ни то ни другое не нравилось заказчикам и производителям, отмечает он.

Изменения порядка сертификации обсуждает технический комитет по стандартизации «Защита информации» при ФСТЭК, говорит Демидов. ФСТЭК пересматривает ГОСТ, который регламентирует процессы безопасной разработки, т. е. предотвращения возникновения уязвимостей в ходе создания решения, поясняет директор по клиентской безопасности Selectel Денис Полянский.

Сейчас ГОСТ требует проверки соответствия требованиям каждой новой версии ПО, поясняет Полянский. «Теперь это можно будет сделать один раз, сертифицировав сам процесс, и во многих случаях выпускать новые версии решений без участия аккредитованных лабораторий», – поясняет он.

Изменения коснутся разработчиков именно средств защиты и общесистемного ПО (например, операционных систем и баз данных), проходящих сертификацию по требованиям безопасности, но не затронут разработчиков прикладного софта, подчеркнул Полянский.

По словам консультанта по безопасности Positive Technologies Алексея Лукацкого, ФСТЭК уже давно требует от лицензиатов, имеющих право разрабатывать средства защиты информации, выстраивать процесс безопасной разработки. Принцип так называемой сертификации по схеме «серия» или «серийное производство», когда считается (и подтверждается), что «весь процесс разработки надежный и все, что создано в его рамках, также надежно и безопасно», существует в IT более 30 лет. А теперь ФСТЭК просто позволит использовать его как формальное подтверждение безопасности, отметил он.

Сейчас на финансовом рынке есть требования по проверке готового продукта, говорит Демидов, это затормаживает скорость цифровизации финансовых продуктов, что, в свою очередь, влияет на доступность финансовых услуг и на права потребителей финансовых услуг. «Подход, при котором можно сертифицировать свой процесс разработки, конечно, мог бы помочь в этой ситуации», – уверен Демидов.