ФСТЭК готова аннулировать сертификаты ИБ-разработчиков даже за первую незаявленную уязвимость

ФСТЭК готова аннулировать сертификаты ИБ-разработчиков даже за первую незаявленную уязвимость

Изображение: recraft

Федеральная служба по техническому и экспортному контролю России объявила о радикальном ужесточении контроля над отраслью кибербезопасности. Теперь сертификат соответствия требованиям безопасности будет отозван у вендора сразу после выявления любой уязвимости о которой разработчик ещё не доложил самостоятельно. Об этом предупредили участники рынка со ссылкой на заявления ведомства.

Директор по корпоративным продажам «Лаборатории Касперского» Марина Усова поделилась с агентством ТАСС деталями недавнего разговора с представителями службы. Марина Усова сообщила что регулятор решил немного скорректировать отношение к производителям. Если специалисты ФСТЭК первыми обнаружат недекларированную слабость в программном обеспечении сертификат аннулируют без промедления.

Эксперт добавила что теперь компаниям придётся работать с удвоенной тщательностью чтобы опережать проверяющих в поиске собственных ошибок.

Информация быстро распространилась среди участников отрасли и вызвала множество вопросов. Анонимный источник агентства на рынке кибербезопасности подтвердил реальность инициативы но отметил полную неопределённость с её реализацией. Пока неизвестно по каким именно нормам будут отзывать документы и какие правовые основания лягут в основу таких решений.

Ещё серьёзнее выглядит проблема последствий для государственных систем. Тысячи объектов критической информационной инфраструктуры сейчас построены на базе сертифицированных отечественных продуктов. Что именно произойдёт с этими платформами после аннулирования сертификатов регулятор не разъяснил.

Собеседник ТАСС обратил внимание на техническую сторону вопроса. Наличие уязвимости далеко не всегда означает реальную возможность её эксплуатации или серьёзное влияние на общую защищённость решения. Если у компании налажен эффективный процесс создания безопасного программного обеспечения дополнительная мотивация в виде угрозы санкций выглядит избыточной. Национальный стандарт ГОСТ 56939-2024 уже требует от разработчиков систематически выявлять и устранять слабые места на всех этапах производства.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: