Поделиться
В России облегчат сертификацию ПО. При каждом изменении кода проходить ее заново не потребуется
До конца 2024 г. ФСТЭК планирует упростить процесс сертификации софта. Сейчас процедура занимает от девяти месяцев до года, а повторная сертификация при каждом изменении кода — еще несколько месяцев. Новый подход заключается в том, что аттестовывать будут сам процесс разработки ПО. Это значит, что дополнительная сертификация обновлений не потребуется.
Изменение порядка сертификации ПО
До конца 2024 г. ФСТЭК планирует упростить процесс сертификации софта, пишут «Ведомости» со ссылкой на заявление директора по развитию бизнеса Cloud.ru Михаила Лобоцкого.
Разработчики операционных систем и решений для информационной безопасности смогут не проходить повторной аттестации ФСТЭК для обновленных версий ранее аттестованных решений.
Изменения порядка сертификации обсуждает технический комитет по стандартизации «Защита информации» при ФСТЭК, подтвердил директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи Сергей Демидов.
ФСТЭК пересматривает ГОСТ, который регламентирует процессы безопасной разработки, т. е. предотвращения возникновения уязвимостей в ходе создания решения, уточнил директор по клиентской безопасности Selectel Денис Полянский. Сейчас ГОСТ требует проверки соответствия требованиям каждой новой версии ПО.
Изменения коснутся разработчиков именно средств защиты и общесистемного ПО.
Сертификат ФСТЭК — это документ, подтверждающий, что представленный ИТ-продукт прошел необходимые проверочные процедуры и соответствует действующим стандартам и требованиям.
Как было
Сертификацию должны обязательно проходить госструктуры, обрабатывающие конфиденциальную информацию (ГИС); системы, отвечающие за автоматизацию технологических процессов; любые организации, сохраняющие у себя личные данные работников или клиентов; учреждения и предприятия, связанные с военной либо государственной тайной.
Процесс сертификации продукта занимает от девяти месяцев до года, а сертификация обновлений — несколько месяцев.
Любые изменения в программном коде, например, в случае выявления уязвимости или программных ошибок в системах защиты информации требуют провести сертификацию заново, сказал заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков: «Процесс сертификации занимает месяцы. По закону надо ждать сертификации, оставляя информационную систему без защиты, или же обновить софт, но с точки зрения закона стать нарушителями».
Как будет
Суть изменений, по словам Лобоцкого, заключается в том, что ФСТЭК будет аттестовывать не готовый продукт, а процесс его разработки.
Сейчас процессы разработки софта проходят оценку соответствия, но она никак не влияет на сертификацию создаваемых средств защиты, объяснил директор портфеля продуктов компании «Нота купол» Игорь Душа.
Принцип так называемой сертификации по схеме «серия» или «серийное производство», когда подтверждается, что «весь процесс разработки надежный и все, что создано в его рамках, также надежно и безопасно», ФСТЭК позволит теперь использовать как формальное подтверждение безопасности, отметил консультант по безопасности Positive Technologies Алексей Лукацкий.
Директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи Сергей Демидов считает, что такой подход помог бы, в частности, ускорить цифровизацию финансовых продуктов.
Короткая ссылка
