Разработчиков ИБ-продуктов освободят от повторной сертификации ФСТЭК при выпуске обновлений

Российских разработчиков операционных систем и продуктов по информационной безопасности планируется избавить от необходимости в прохождении повторной сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в случае, если они будут выпускать обновления к уже сертифицированным ранее ведомством собственным продуктам. Об этом накануне сообщило издание «Ведомости».

Соответствующее заявление во время своего выступления на прошедшем форуме «Телеком 2024» сделал Михаил Лобоцкий, директор по развитию бизнеса Cloud.ru. По словам эксперта, до конца текущего года во ФСТЭК России намерены существенно упростить процесс сертификации программного обеспечения в России. И изменения, которые ведомство будет вносить в процесс проверки, позволят сделать сертификацию российского программного обеспечения намного быстрее.

Михаил Лобоцкий также указал на то, что при существующих сейчас регламентах процедура сертификации новых продуктов, выпускаемых российскими разработчиками, занимает около года, а пересертификация при выпуске обновлений — около шести месяцев. При этом, как отмечает эксперт, после внесения соответствующих изменений во ФСТЭК России будут тестироваться уже не готовые решения, а процесс их разработки, за счёт чего планируется существенно уменьшить сроки сертификации.

В Центре компетенций НТИ «Технологии доверенного взаимодействия» подчеркнули, что при нынешних нормах из-за внесения любых изменений в коде программного обеспечения разработчикам требуется заново проходить сертификацию ФСТЭК России, что занимает несколько месяцев. Кроме того, в соответствии с российским законодательством, пока разработчикам продуктов приходится ждать сертификации, информационная система остаётся без защиты. Это связано с тем, что если они обновят свой софт, то станут нарушителями с точки зрения действующего законодательства.

По словам Антона Квардакова, заместителя начальника отдела ТЗКИ Cloud Networks, этот вопрос, конечно, относится больше к разработчикам средств защиты информации. «Мы, как интеграторы, безусловно следим за тем, что происходит в ИБ-индустрии. Слухи о сертификации продуктов ходили довольно давно. ФСТЭК ещё в 2016 году сообщал о том, что планирует перестать запрашивать постоянные сертификации при выпуске обновлений сертифицированных средств защиты. Скажу, что инициатива хорошая с точки зрения актуальности версий продуктов.

Не секрет, что актуальная версия того же Касперского сильно отличается от сертифицированной версии. Над процессом сертификации в каждом таком разработчике сертифицированных средств работает очень большое количество людей. Поэтому я думаю, что скорее всего нагрузка на них снизиться кратно. В дальнейшем это может привести к вопросу об актуальности численности работников в разработчике, отвечающих за сертификацию, а рынок в итоге будет охвачен уже более актуальными версиями продуктов», — отметил эксперт.

Ильмар Хабибулин, заместитель директора центра разработки и тестирования NGR Softlab, отметил: «Для нас, как производителя средств защиты информации, эта новость является положительной в том смысле, что реализация инициатив регулятора должна улучшить прогнозирование трудозатрат и сроков проведения сертификационных испытаний. Кроме того, это позволит готовиться к ним заранее, что, по информации от коллег из испытательных лабораторий, поможет значительно сократить время сертификации новых версий продуктов.

Да, потребуются дополнительные инвестиции в технологии и персонал, но в перспективе это даст возможность сохранить достаточную гибкость в поставке ценности заказчикам, использующим сертифицированные версии, без существенных задержек по срокам обновлений».

Дмитрий Михеев, технический директор компании «АйТи Бастион»: «Это крайне важная история. Сертификация ФСТЭК — это всегда дорого во всех смыслах этого слова. С одной стороны, лицензиат обязан выпускать обновления сертифицированного ПО. С другой, как правило, выпуск обновления означает, что это новое состояние ПО и его нельзя выкатывать поверх сертифицированной версии: продукт потеряет текущий сертифицированный статус и возникнет необходимость в полностью новой его сертификации.

Вот и получается довольно давно, что ПО может быть либо сертифицированным, либо актуальным. Что одинаково крайне неудобно как для его разработчиков, так и для пользователей.

Новация подразумевает выполнение определенного набора требований как со стороны компании-лицензиата, так и с точки зрения процедур разработки и выпуска сертифицированного ПО. Пока точной практики применения по этой теме нет. Мы все ее ждем, надеемся и верим, что сможем адаптироваться под эти требования, чтобы процедуру выпуска обновлений ПО можно было использовать для сертифицированных продуктов нашего производства».

Александр Блезнеков специалист по комплаенс и основатель компании Veles: «У некоторых компаний процесс сертификации средств защиты информации может занимать до 2-х лет, не говоря про выпуск обновлений и прохождения инспекционных контролей. Данная инициатива поможет производителям средств защиты оптимизировать свои ресурсы в части поддержки своих решений. Стоит отметить, что процесс первичной сертификации остается, но меняется объект сертификации, вместо продукта, сертифицируется процесс производства продукта, что безусловно большой шаг вперед.»