Конец мукам пересертификации: ФСТЭК идет навстречу ИТ-компаниям

В соответствии с новой инициативой Федеральной службы по техническому и экспортному контролю (ФСТЭК), разработчики операционных систем и программ для информационной безопасности в скором времени получат возможность избежать повторной сертификации при выпуске обновлений ранее сертифицированных продуктов. Об этом сообщил «Ведомостям» директор по развитию бизнеса компании Cloud.ru Михаил Лобоцкий, подтвердив информацию директор департамента операционных рисков Московской биржи Сергей Демидов.

По словам Лобоцкого, до конца 2024 г. ФСТЭК планирует сократить сроки повторной сертификации софта посредством введения процесса сертификации безопасной разработки. Изменения, которые планирует внести ФСТЭК в процедуру проверки, позволят сократить сроки аттестации.

На данный момент процедура первичной сертификации ПО занимает как минимум один год. Для каждого последующего обновления программного продукта требуется пересертификация, которая длится минимум полгода. «Этот процесс выглядит так: примерно год уходит на работу заявителя с испытательной лабораторией и органом по сертификации, после чего вместе с документами это передается во ФСТЭК. Суть изменений заключается в том, что ФСТЭК будет сертифицировать конвейер безопасной разработки продуктов компании. Таким образом, имея на руках сертификат на процесс разработки, обновлять ранее сертифицированный софт будет в разы проще, дешевле и быстрее», – пояснил изданию Лобоцкий. Он добавил, что таким образом процесс пересертификации сократится до нескольких месяцев за счет отсутствия третьих организаций при проверках обновленного ПО.

В рамках текущей практики, любые изменения в программном коде, например, обнаружение уязвимостей или ошибок, требуют провести сертификацию заново, при этом процесс сертификации занимает месяцы. «По закону надо ждать сертификации, оставляя информационную систему без защиты, или же обновить софт, но с точки зрения закона стать нарушителями», - отметил Руслан Пермяков, представитель Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР.

Изменения порядка сертификации обсуждает технический комитет по стандартизации «Защита информации» при ФСТЭК, уточнил Демидов. ФСТЭК пересматривает ГОСТ, который регламентирует процессы безопасной разработки, т. е. предотвращения возникновения уязвимостей в ходе создания решения, рассказал директор по клиентской безопасности Selectel Денис Полянский. Сейчас ГОСТ требует проверки соответствия требованиям каждой новой версии ПО. «Теперь это можно будет сделать один раз, сертифицировав сам процесс, и во многих случаях выпускать новые версии решений без участия аккредитованных лабораторий», – поясняет он.

Изменения коснутся разработчиков средств защиты информации, операционных систем, баз данных и другого общесистемного ПО, проходящего сертификацию по требованиям безопасности ФСТЭК. Разработчики прикладного программного обеспечения не будут затронуты, подчеркнул Полянский.