Российский регулятор требует от разработчиков антивирусного ПО открыть исходный код продукта
Фото: Дмитрий Коротаев / Коммерсантъ
Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила обновленные требования к программному обеспечению из сферы информационной безопасности. Так, разработчики и производители антивирусов, файерволлов и другого ПО должны до конца года провести испытания по выявлению уязвимостей и недекларированных возможностей.
Участники рынка считают, что эти меры приведут к повышению затрат на прохождение сертификации и к дальнейшему сокращению числа иностранных поставщиков в российском госсекторе.
Что касается самого ПО, то ФСТЭК требует соответствия новым правилам широкого спектра программных продуктов, включая антивирусы, межсетевые экраны, софт в сфере борьбы со спамом и защиты веб-трафика, системы защиты от утечек информации и защищенные операционные системы.
Требования регулятора вступают в силу с 1 июня 2019 года. Разработчики ПО, которое подлежит анализу должны сотрудничать с представителями испытательных лабораторий ФСТЭК, проведя оценку соответствия своих продуктов новым требованиям. Также им нужно провести испытания по выявлению уязвимостей и недекларированных возможностей до 1 января 2020 года. В противном случае действие сертификатов будет приостановлено.
По мнению представителей рынка, прежний руководящий документ, который регулирует софт указанных видов уже устарел. Но вот реализация нового может привести к появлению новых проблем. «Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах СЗИ в какой-то момент могут оказаться без действующих сертификатов», — заявил в комментарии «Коммерсанту» один из участников рынка.
С этим мнением согласен и главный конструктор Astra Linux Юрий Соснин: «Реализация новых требований — достаточно серьезная работа: анализ, разработка продукта, его непрерывное сопровождение и устранение недостатков». В то же время ужесточение требований позволит отсеять недобросовестных участников рынка, считает он.
Стоит отметить, что основные проблемы возникнут не у отечественных, а зарубежных разработчиков. Дело в том, что одно из главных требований проверки недекларируемых возможностей — передача исходного кода решений. Для того разработчики должны описать каждую функцию и механизм работы. Для крупных разработчиков ситуация, в которой они открывают исходный код своих программных продуктов в большинстве случаев невозможна. Поэтому уже в ближайшее время объем закупаемых отечественными органами иностранных средств защиты будет снижен.
Кроме того, предоставление исходных кодов с определенного времени запрещается законодательством ряда стран, поэтому иностранные производители вряд ли смогут пройти сертификацию. А это обязательно для компаний, которые желают работать с госорганами и госкомпаниями. Для поставщиков антивирусного ПО это важно, поскольку до половины всего рынка информационной безопасности в РФ приходится на госорганы и государственные корпорации. До недавнего времени этот рынок занимали решения зарубежных компаний, сейчас же ситуация может измениться.
