Конкурс журналистов

Отказавшихся раскрыть исходный код разработчиков софта лишат госзаказов

С 1 января ряд ИТ-компаний может лишиться права работать с госорганами из-за усложнения правил сертификации
Отказавшихся раскрыть исходный код разработчиков софта лишат госзаказов
Теги: #Импортозамещение #Исходный код #ИТ-компании #Минкомсвязи #ПО #Цифровая экономика

С 1 января ряд ИТ-компаний может лишиться права работать с госорганами из-за усложнения правил сертификации. Новые требования обязывают их предоставлять исходный код продукта, и это может быть проблемой для зарубежных игроков.

О том, что ряд ИТ-компаний может не успеть обновить сертификат на средства защиты информации, который требуется для продажи программного обеспечения и оборудования в госорганы и отдельные госкомпании, пишет РБК со ссылкой на нескольких участников рынка. Как отмечает издание, проблемы признали представители разработчика офисного софта «Новые облачные технологии» (НОТ) и «Лаборатории Касперского».

Так, по словам руководителя группы сертификации «Лаборатории Касперского» Карины Нападовской, подобные требования могут противоречить политикам безопасности компаний-производителей ПО и приведут к раскрытию коммерческой тайны и нарушению конфиденциальности.

«Чтобы начать процесс сертификации, любой вендор должен будет предоставить для анализа исходный код своих продуктов, но не все вендоры могут себе это позволить в связи с собственными политиками безопасности», — заявила Нападовская.

Что поменяется с 1 января

С 1 января 2020 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) может приостановить действие сертификатов соответствия средств защиты информации, если разработчики и производители этих средств не проведут переоценку их соответствия уровням доверия. Ведомство предупредило об этом участников рынка в марте этого года.

Это значит, что такие средства нельзя будет применять в государственных информационных системах и информационных системах персональных данных. Переоценку нужно проводить по правилам, которые вступили в силу с 1 июня.

Разработчики и производители средств защиты информации должны с помощью специальных лабораторий оценить, соответствуют ли их средства новым требованиям, и представить данные во ФСТЭК для переоформления сертификата.

Кто может пострадать

На данный момент в реестре сертифицированных средств защиты информации более 4,1 тыс. наименований, следует из данных на сайте ФСТЭК. Например, в середине прошлого года ФГУП «Предприятие по поставкам продукции управления делами президента Российской Федерации» и ООО «Сертифицированные информационные системы груп» («СИС Груп») получили сертификат на операционную систему Microsoft Windows Server 2016, а в начале этого года — на программный комплекс Microsoft Project Server 2016 и cистему управления базами данных Microsoft SQL Server 2017, следует из реестра.

Документы действуют до 2021, 2023 и 2024 года соответственно. В середине 2018 года российская «дочка» SAP, ООО «САП СНГ», получила сертификаты на несколько своих продуктов, которые действуют до середины 2024 года. ООО «Сател» в апреле получило сертификат на несколько моделей межсетевого экрана Huawei.

Из общего количества сертификатов в реестре 36 были выданы после 1 июня. Но, как утверждает руководитель службы информбезопасности НОТ Александр Буравцов, на данный момент в реестре нет средств, сертифицированных по новым правилам. С момента подачи заявки до внесения в реестр может пройти от полугода до нескольких лет, и даже сертификаты, выданные в конце августа, оформлялись по старым требованиям, отметил он.

Сертификат может получить только российское юрлицо (разработчик, заказчик, «дочка» вендора, дистрибьютор и т.д. ), но раскрыть исходный код невозможно без участия или разрешения разработчика этого ПО. При этом для некоторых компаний из США действует прямой запрет на предоставление кода.

«Значительная часть вендоров — это компании, поставляющие свои решения в американское Минобороны, а в 2018 году в США вышел фактический запрет таким компаниям на передачу исходного кода в ряд стран, включая Россию, — напоминает независимый эксперт в сфере информационной безопасности Алексей Лукацкий. — Компания-разработчик может запросить разрешение, но, думаю, многие посчитают это нецелесообразным — из-за курса на импортозамещение российский рынок госорганов и госструктур для иностранных поставщиков значительно сократился».

Успеют ли российские игроки переоформить сертификаты

По словам Лукацкого, ФСТЭК не дал четких разъяснений о том, как проводить оценку, поэтому не все лаборатории берутся за такую работу. «Те компании, которые только сейчас задумываются о том, что необходимо обновлять сертификат, скорее всего, не успеют к 1 января. В этом случае ФСТЭК придется либо продлевать сроки действия старых сертификатов, либо отзывать их», — указал Лукацкий.

Нападовская жалуется, что вендоры сталкиваются с ограниченным количеством испытательных лабораторий. В штате последних есть специалисты, «чьих компетенций недостаточно для проведения сертификаций по новым требованиям ФСТЭК». По ее словам, «Лаборатория Касперского» планирует до 1 января переоформить сертификаты на основные продукты, а в первом квартале 2020 года — полностью соответствовать новым требованиям.

«Если сертификаты не будут переоформлены, ФСТЭК имеет право запретить распространение продуктов. Однако сейчас «Лаборатория Касперского» делает все, чтобы не допустить такой ситуации», — сказала Нападовская.

Александр Буравцов говорит, что компания подала заявки на инспекционный контроль всех действующих решений 1 июня.

«Испытательная лаборатория ФСТЭК сильно загружена большим количеством аналогичных работ по другим средствам защиты информации, но мы надеемся, что к новому году все сертификаты будут обновлены», — сказал он.

Буравцов считает, что, скорее всего, регулятор постарается сделать переход максимально мягким. «Но если на «переходное время» выпадет этап модернизации или создания информационной системы, заказчикам придется выбирать только из средств с обновленными сертификатами», — отметил он.

При этом аннулирование старых сертификатов будет иметь «безусловно положительные моменты» для заказчиков, считает Александр Буравцов, — новые требования к сертификации дадут «больше гарантий безопасности при построении информационных систем».

По оценке TAdviser, в 2018 году общий объем ИТ-бюджетов российских госорганов составил 122,2 млрд руб. С 2015 года доля отечественного софта при госзакупках увеличилась с 20 до 65%, говорил замглавы Минкомсвязи Алексей Соколов в апреле 2019 года.

Ведомство рассчитывает, что к 2024 году российским будет 90% ПО, закупаемого госорганами, и 70% — госкомпаниями

Фото: @hackcapital / unsplash

Минкомсвязи отстаивает запрет на госзакупки иностранного софта