Анализ реестра сертифицированных ФСТЭК в 2018-м году средств защиты информации

Анализ реестра сертифицированных ФСТЭК в 2018-м году средств защиты информации
Вчера на портале anti-malware.ru вышла первая часть обзора российского рынка ИБ, которая вызывает лично у меня вопросы (у 63% компаний в России бюджет на ИБ меньше 500 тысяч рублей????), но которая при этом ставит перед собой цель проанализировать общее (и оно, судя по отчету, удручащее) состояние ИБ в нашей стране. Я же параллельно провел уже ставшее традиционным исследование реестра сертифицированных ФСТЭК в 2018-м году средств защиты информации.

Если сравнивать результаты с 2017-м годом, то может сложится впечатление, что ситуация хуже не стала, а местами даже лучше. Общее число выданных за год сертификатов выросло на 18%, а число сертификатов на иностранные решения выросло на 2%. Но на самом деле ситуация немного иная. Например, 77% всех сертификатов у "иностранцев" выдано на решения Cisco. Да, мне, как работнику Cisco, приятно видеть доминирование своей компании, но в целом картина получается той, которую я предсказывал в прошлом году - "иностранцы" уходят с рынка сертифицированных решений, не имея возможности соответствовать все более жестким требованиям регулятора. В списке сертификатов за 2018-й год я не увидел ни одного сертификата от Check Point или Fortinet, а они были достаточно агрессивны в части выполнения требований своих продуктов требованиям ФСТЭК в прошлые годы. Да, на продукты этих компаний действующие сертификаты еще есть, но не на текущие версии ПО (некоторое ПО уже не продается и не поддерживается).


Зато возросло число сертификатов по схеме "серия". ФСТЭК давно говорила, что она будет стараться уходить от сертификации единичных экзмепляров и партий, допуская это в особых случаях. Если посмотреть на реестр, то мы увидим, что такие сертификаты выданы преимущественно заказчикам под их нужды или под решения, которые массовыми никогда не будут (например, под ПО портала госуслуг или ПО ведения какого-либо реестра, которые существуют в единственном экземпляре). Таких средств защиты узкого применения в реестре более половины. Кстати, обратил внимание, что под Единую биометрическую систему, никаких сертификатов соответствия требованиям безопасности нет.


С момента введения санкций против России и начала курса на импортозамещение прошло уже почти 5 лет. Достаточно большой срок, чтобы российские производители выпустили аналоги иностранным решениям по ИБ. Интерес со стороны заказчиков есть. Поддержа государства (не деньгами, так нормативкой) тоже есть. Конкуренция снижается. А рынок так ничем и не может заполнить возникший вакуум :-( Лидером по числу выданных сертификатов является направление межсетевых экранов, коих получено 22% от общего числа бумажек с голограммой. В то время как весь мир уже давно бороздит мировой океан движется в сторону прикладной ИБ, занимается решениями по ИБ на блокчейне и искусственном интеллекте, борется с целевыми угрозами, мы по-прежнему основную ставку в защите делаем на межсетевые экраны :-( Правда, стоит снова отметить, что 78% сертификатов на МСЭ выдано на продукцию Cisco. А вот сегмент, который рванул с прошлого года - это системы обнаружения вторжений - их стало больше в три раза. Причем 78% всех сертификатов - это российская продукция. Это, на мой взгляд, тоже объяснимо. Бери иностранные Snort, Surricata или Bro и строй на них "свою" IDS. Затрат минимум - один профит. Можно даже сигнатуры свои не писать, а брать чужие.


Еще ряд интересных наблюдений - из сертифицированных ОС (а их 4), три были иностранного происхождения. Некоторые решения по старинце сертифицировались как СВТ, хотя являлись по сути либо средствами защиты базами данных, либо операционными системами. Кстати, средств защиты СУБД, сертифицированных по ТУ или НДВ, было больше одного (4, если быть точнее). Новый WAF в реестре появился только один, средств защиты виртуализации - три, средство анализа кода - одно, недоSIEM (от СерчИнформа и Ankey) - два, средств анализа защищенности - тоже два.

Кстати, мне можно возразить, что отсутствие новых сертификатов в 2018-м году может означать, что решение было сертифицировано в 2017-м и поэтому, при сроке действия сертификата в течение 3-х лет, оно не требует обновления бумаги от регулятора. Отчасти это так, но... А как же новые версии ПО? Или их за год так и не появилось?

Новых выводов не будет - сделанные год назад подтверждаются. Иностранные решения из сегмента сертифицированных выживают, российских решений больше не становится; закрыть все потребности заказчиков и все пункты из 17/21/31/239 приказов они не могут. Что делать заказчикам, не совсем понятно. Остается вспомнить только птицу Говоруна из мультфильма "Тайна третьей планеты": "Держаться нету больше сил..." :-)

Самое парадоксальное во всей этой ситуации, что ФСТЭК, регулятор, который призван обеспечивать защиту информации в государства, своими требованиями ее только снижает :-( Защищаться-то нечем - на рынок и новые решения ФСТЭК влиять не может, только на установление требований... реализовывать которые становится все сложнее и сложнее. Понять регулятора тоже можно (враги сжимают кольцо), но от этого не легче.


Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться