НовостиОбзорыСобытияIT@Work
Безопасность:

Блог

Сертификация иностранных СЗИ при импортозамещении

Те из иностранных  компаний, которые, несмотря на наложенные на Россию санкции, продолжили  работать на российском рынке, нередко практикуют локализацию производства некоторых своих продуктов. Российских партнеров по производству они часто привлекают к процессу сертификации в России своей продукции в качестве заявителей на сертификацию.

В одном из своих выступлений на выставке-конференции Infosecurity Russia 2015 начальник управления Федеральной службы по техническому и экспортному контролю Виталий Лютиков (выразив недоумение по поводу активности некоторых  российских разработчиков средств защиты информации, обладающих собственным потенциалом разработки и производства, в продвижении конкурирующей продукции зарубежных вендоров на российском рынке) напомнил, что заявитель на сертификацию во ФСТЭК средств защиты информации (СЗИ) несет обязательства по соответствию СЗИ  требованиям условий сертификации, распространяющимся в том числе и на период эксплуатации СЗИ, прежде всего в целях устранения обнаруживаемых уязвимостей.

Вместе с тем, как подчеркивает г-н Лютиков, регламенты устранения уязвимостей иностранных СЗИ полностью находятся в компетенции иностранных разработчиков СЗИ. Как следствие российские заявители оказываются не в состоянии выполнять весь комплекс работ по поиску и устранению уязвимостей СЗИ. Это, по словам г-на Лютикова,  приводит к тому, что регулятор получает отписки со ссылками на псевдокомпенсационные меры, а не реально выполненную работу по технической поддержке СЗИ.

ФСТЭК намерена изменить ситуацию в целях своевременного и неформального выполнения процесса поддержки СЗИ. Комиссия рекомендует разрабатывать и включать в документацию на сертификацию СЗИ разделы, относящиеся к процедурам поддержки и в первую очередь обновления,  не исключая при этом обоснования дополнительных компенсационных мер и механизмов (например, ввода ограничений на среду функционирования СЗИ), которые могут исключить возможность эксплуатации уязвимости.

В случаях ненадлежащей поддержки процесса внесения изменений в СЗИ (прежде всего в целях устранения уязвимостей) к заявителю, по словам г-на Лютикова, могут быть применены суровые санкции – вплоть до отзыва уже полученного сертификата.