"Без бумажки ты .... (ну вы сами знаете)"
Продолжаю изучать нормативку по НПС и один абзац в тексте вновь заставил поразмышлять о наболевшем. Вот упомянутый абзац:
"2.6.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение некриптографических средств защиты информацииот несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия. Допускается применениенекриптографических средств защитыинформации от несанкционированного доступа иностранного производства."
Вообще молодцы представители Центрального Банка, до последнего борятся с излишними требованиями регуляторов. В СТО БР ИББС, например, умудрились вкрутить, что банкам не требуется получать лицензию на ТЗКИ. Здесь вот это. Но судя по формулировке, устали коллеги воевать с ФСБ и решили хотя бы по части некриптографических средств ослабить удавку. В моем понимании конструкция "..в том числе прошедших ...процедуру оценки" означает, что я могу применять как прошедшие процедуру оценки, так и не прошедшие процедуру оценки средства защиты. А про "иностранного производства" - это вообще контрольный :) для совсем твердолобых проверяющих видимо :)
Но поговорить я хотел о своем отношении к системе сертификации. Я открыто заявляю, что являюсь ее противником в том виде как она подается сейчас. Я убежден, что механизмы жесткой сертификации должны применяться в исключительных случаях. Например, при защите государственной тайны, для военных нужд и похожих случаях. Т.е. когда речь идет о безопасности государства или жизни граждан. Во всех других случаях сертификация только душит рынок ИБ, создает коррупционные возможности для проверяющих и создает условия для монополизации. Для коммерческих целей должны создаваться коммерческие системы сертификации (пример, компании BSI, TUV и другие), которые будут оценивать средства защиты и выдавать свои собственные заключения.
Поясню почему я крайне негативно отношусь к существующей практике сертификации СЗИ:
1) Сертификация "замораживает" разработку.В настоящий момент процедура сертификации занимает от 6 мес. до 1 года. Знаю это потому как работая в интеграторе периодически сталкиваюсь с тем, как наши партнеры- разработчики сертифицируют свои новые разработки. У некоторых уходит и больше года. И даже те, у кого в штате есть "нужные люди", все равно не могут сделать это быстрее чем за 6 месяцев.
При этом любой нормальный разработчик за 6 месяцев выпустит не один апдейт для своей системы (если продукт развивается, а не замораживается), а это означает, что сертифицированный продукт практически никогда не будет содержать всех последних обновлений.
2) Сертификация душит рынок ИБ в плане появления новых разработок.Честно скажу, что не знаю точный ценник, НО думаю все понимают что это скорее всего сотни тысяч, а может быть и миллионы рублей. Суммы не заоблачные, но они абсолютно неподъемны для стартапов. Мы хотим чтобы у нас появлялись новые технологии ?? На западе очень многие крупные вендоры активно развиваются именно за счет того, что покупают более мелкие, инновационные конторки. Если сертификация войдет в жесткую обязаловку, то можно забыть о расцвете новых технологий, либо люди будут создавать и продавать новые системы защиты осознанно нарушая закон.
3) Сертификация монополизирует рынок. Частично это связано с тем, что я уже описал выше. Чем сложнее получить на свой продукт ярлык, тем меньше компаний будет на рынке, а тем легче будет тем компаниям, которые на этом рынке уже существуют. Кроме того, сертификация, может быть использована и для конкурентной борьбы. У меня есть пример одного западного вендора, который уже больше года не может получить сертификат на свой продукт, я не берусь утверждать в чем причина, но по слухам виной этому является "активная работа" другого конкурента (российской компании).
4) Миф: сертификация позволит защитить отечественного производителя. Это неправда !!! Западные компании, которые решаются выйти на российский рынок как правило обладают серьезными деньгами, а за деньги как известно можно решить практически любой вопрос. У Microsoft сейчас сертификатов больше чем у кого бы то ни было. Так что опять же сертификация будет душить небольшие (в т.ч. отечественные) компании и способствовать захвату рынка ИБ со стороны западных компаний.
5) Миф: Сертификация говорит о качестве продукта. Сейчас технологии разработки настолько усложнились, что проводимые испытания просто не в состоянии выявить всех возможных тонкостей функционирования СЗИ. Либо эти испытания должны проводиться на постоянной основе, что попросту невозможно. Я знаю массу совершенно глюкавых отечественных продуктов, имеющих необходимые сертификаты, и множество хороших западных, не имеющих нужных бумажек. Все проверяется опытом и практикой использования продуктов в реальной бизнес-среде.
Возможно кому-то показалось, что я агитирую за то какие плохие отечественные (сертифицированные) и какие, в свою очередь, хорошие западные (несертифицированные) продукты. Это не так. Мне самому очень хочется, чтобы рынок отечественных разработок СЗИ активно развивался. Я сам, когда-то работал в таких компаниях как StarForce и Kaspersky, чьи разработки известны по всему миру и был реально горд, что это так. Но на мой взгляд сертификация - это ужасный призрак из прошлого, от которого нужно в 95% случаях отказаться, если мы хотим двигаться вперед.
