Эксперты предложили Минцифры усовершенствовать систему оценки защищённости отечественного ПО

Представители ИБ-сообщества направили в Министерство цифрового развития предложения, касающиеся пересмотра и дополнения действующего реестра российского программного обеспечения. Участники обсуждения уверены, что необходимо усилить контроль над уязвимостями и ввести новую форму маркировки, обозначающую уровень киберзащищённости программных решений. Такую инициативу обсуждали эксперты центра «Кибердом» и других организаций, специализирующихся на вопросах кибербезопасности, а затем оформили в письменное обращение в адрес Минцифры.

Документ, с которым ознакомилось издание «Коммерсантъ», был передан в ведомство в конце октября. В нём авторы высказались по поводу готовящихся изменений в регулировании отечественного ПО.

Осенью Минцифры предложило два новых перечня: один предназначен для регистрации частных корпоративных решений, второй — для формирования группы доверенного программного обеспечения. Участники рынка выразили обеспокоенность тем, что существующие требования к включению в реестр фактически блокируют попадание туда значительной части продуктов, связанных с ИБ.

Одним из самых дискуссионных условий стало требование обеспечить совместимость ПО хотя бы с одной версией российского процессора.

Представители отрасли считают, что данное условие невозможно реализовать на практике для большинства современных ИБ-решений, поскольку разработчики не имеют доступа к оборудованию, необходимому для проведения испытаний. Авторы обращения уверены, что текущий подход тормозит развитие сегмента киберзащиты, не позволяя интегрировать в реестр действительно эффективные продукты.

Эксперты предложили альтернативу. По их мнению, государственный реестр может учитывать уровень защищённости программ, если разработчики пройдут дополнительную проверку на наличие уязвимостей. Такая оценка может проводиться либо в обязательном, либо в добровольном формате — в зависимости от типа реестра. В случае успешного прохождения тестов, программный продукт получит специальную отметку. Аналогичная схема, как напомнили участники рабочей группы, уже используется в рамках проекта по маркировке решений, использующих технологии искусственного интеллекта.

В Минцифры подтвердили получение предложений и сообщили, что часть инициатив была признана обоснованной. По информации, предоставленной ведомством, уже пересмотрены сроки поддержки российских микропроцессоров в отношении доверенного софта. Также разработчики смогут подтвердить соответствие дополнительным требованиям и зафиксировать этот статус в реестре.