В одном из своих выступлений на выставке-конференции Infosecurity Russia 2015 начальник управления Федеральной службы по техническому и экспортному контролю Виталий Лютиков (выразив недоумение по поводу активности некоторых российских разработчиков средств защиты информации, обладающих собственным потенциалом разработки и производства, в продвижении конкурирующей продукции зарубежных вендоров на российском рынке) напомнил, что заявитель на сертификацию во ФСТЭК средств защиты информации (СЗИ) несет обязательства по соответствию СЗИ требованиям условий сертификации, распространяющимся в том числе и на период эксплуатации СЗИ, прежде всего в целях устранения обнаруживаемых уязвимостей.
Вместе с тем, как подчеркивает г-н Лютиков, регламенты устранения уязвимостей иностранных СЗИ полностью находятся в компетенции иностранных разработчиков СЗИ. Как следствие российские заявители оказываются не в состоянии выполнять весь комплекс работ по поиску и устранению уязвимостей СЗИ. Это, по словам г-на Лютикова, приводит к тому, что регулятор получает отписки со ссылками на псевдокомпенсационные меры, а не реально выполненную работу по технической поддержке СЗИ.
ФСТЭК намерена изменить ситуацию в целях своевременного и неформального выполнения процесса поддержки СЗИ. Комиссия рекомендует разрабатывать и включать в документацию на сертификацию СЗИ разделы, относящиеся к процедурам поддержки и в первую очередь обновления, не исключая при этом обоснования дополнительных компенсационных мер и механизмов (например, ввода ограничений на среду функционирования СЗИ), которые могут исключить возможность эксплуатации уязвимости.
В случаях ненадлежащей поддержки процесса внесения изменений в СЗИ (прежде всего в целях устранения уязвимостей) к заявителю, по словам г-на Лютикова, могут быть применены суровые санкции – вплоть до отзыва уже полученного сертификата.
