НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Сертификация иностранных СЗИ при импортозамещении

Валерий Васильев
28.09.2015 11:50:35

Те из иностранных компаний, которые, несмотря на наложенные на Россию санкции, продолжили работать на российском рынке, нередко практикуют локализацию производства некоторых своих продуктов. Российских партнеров по производству они часто привлекают к процессу сертификации в России своей продукции в качестве заявителей на сертификацию.

В одном из своих выступлений на выставке-конференции Infosecurity Russia 2015 начальник управления Федеральной службы по техническому и экспортному контролю Виталий Лютиков (выразив недоумение по поводу активности некоторых российских разработчиков средств защиты информации, обладающих собственным потенциалом разработки и производства, в продвижении конкурирующей продукции зарубежных вендоров на российском рынке) напомнил, что заявитель на сертификацию во ФСТЭК средств защиты информации (СЗИ) несет обязательства по соответствию СЗИ требованиям условий сертификации, распространяющимся в том числе и на период эксплуатации СЗИ, прежде всего в целях устранения обнаруживаемых уязвимостей.

Вместе с тем, как подчеркивает г-н Лютиков, регламенты устранения уязвимостей иностранных СЗИ полностью находятся в компетенции иностранных разработчиков СЗИ. Как следствие российские заявители оказываются не в состоянии выполнять весь комплекс работ по поиску и устранению уязвимостей СЗИ. Это, по словам г-на Лютикова, приводит к тому, что регулятор получает отписки со ссылками на псевдокомпенсационные меры, а не реально выполненную работу по технической поддержке СЗИ.

ФСТЭК намерена изменить ситуацию в целях своевременного и неформального выполнения процесса поддержки СЗИ. Комиссия рекомендует разрабатывать и включать в документацию на сертификацию СЗИ разделы, относящиеся к процедурам поддержки и в первую очередь обновления, не исключая при этом обоснования дополнительных компенсационных мер и механизмов (например, ввода ограничений на среду функционирования СЗИ), которые могут исключить возможность эксплуатации уязвимости.

В случаях ненадлежащей поддержки процесса внесения изменений в СЗИ (прежде всего в целях устранения уязвимостей) к заявителю, по словам г-на Лютикова, могут быть применены суровые санкции – вплоть до отзыва уже полученного сертификата.

Комментариев: 0

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии