ИБ и импортозамещение. Взгляд регулятора

Представлявший на выставке-конференции Infosecurity Russia 2015 Федеральную службы по техническому и экспортному контролю (ФСТЭК) России начальник управления этой cлужбы Виталий Лютиков заявил, что тема импортозамещения в области информационной безопасности (ИБ) безусловно является актуальной и значимой.

Свою задачу ФСТЭК видит в том, чтобы, не занимаясь вопросами импортозамещения напрямую, помочь понять и учесть специфику обеспечения ИБ в процессе выполнения импортозамещения в ИКТ коллегам из Минкомсвязи, которое как правительственный орган регулирует импортозамещение в этой сфере в целом. Как полагает г-н Лютиков, чем раньше будут учитываться аспекты ИБ в процессе импортозамещения, тем с меньшим количеством проблем столкнется отрасль в дальнейшем,

На сегодняшний день среди средств защиты информации (СЗИ), прошедших сертификацию и используемых для защиты сведений, относящихся к государственной тайне, импортные составляют около 1%, остальные разработаны и произведены в России. По данным ФСТЭК, количество импортных СЗИ, используемых для защиты конфиденциальной информации в государственных структурах, не превышает четвертой части. Одновременно ФСТЭК отмечает уменьшение количества вновь выданных сертификатов.

Несмотря на объявленную в нашей стране стратегию на импортозамещение, соотношение между количеством отечественных и импортных сертифицированных СЗИ (без учета криптографических средств) за последние пару лет не увеличилось в пользу отечественных — на протяжении нескольких последних лет их сертифицируется примерно поровну.

Оставляя в стороне сравнение качества российских и импортных СЗИ, г-н Лютиков отметил, что в настоящее время в нашей стране разрабатывается и производится практически весь ассортимент необходимых СЗИ.

Среди наиболее явно означившихся к настоящему времени ИБ-проблем, связанных с импортозамещением, г-н Лютиков отметил следующие:

· Наметившееся под флагом импортозамещения преимущественное по сравнению с проприетарным применение ПО с открытым исходным кодом (СПО), может сократить расходы. Однако бесконтрольность такого перехода приведет к увеличению количества программных уязвимостей, поскольку, как считают во ФСТЭК, в СПО уязвимостей значительно больше, чем в проприетарном ПО. Переход на СПО также потребует от разработчиков и регуляторов наработки компетенций в его поддержке и сертификации.

· Безопасность ПО прикладного уровня невозможно обеспечить без безопасного ПО общесистемного уровня. Об этом следует помнить при разработке и использовании прикладного ПО и стремиться к его кросс-платформенности. В качестве примера г-н Лютиков упомянул Windows XP, поддержку которой корпорация Microsoft официально прекратила, но которая продолжает использоваться во многих организациях и под которую все еще разрабатывается прикладное ПО. ФСТЭК не будет выдавать сертификаты на прикладное ПО, работающее поверх системного, поддержка которого не обеспечивается вендором.

ФСТЭК обращает внимание на свои требования к заявителям на сертификацию программных средств защиты информации (СЗИ) обеспечивать техническую поддержку, в первую очередь для устранения обнаруживаемых уязвимостей. Как показывает практика, российские заявители на сертификацию импортных СЗИ сталкиваются с серьезными проблемами при выполнении этих требований. ФСТЭК намерена изменить ситуацию так, чтобы заявители более ответственно относились к обязательствам, которые заявители возлагают на себя в части обеспечения процесса своевременного устранения обнаруживаемых уязвимостей.

ФСТЭК, как сообщил г-н Лютиков, завершила разработку проектов требований к СЗИ. Часть из них — требования к системам обнаружения вторжений, средствам антивирусной защиты, средствам доверенной загрузки, средствам контроля съемных машинных носителей информации — утверждена соответствующими приказами ФТЭК в период с 2011 по 2014 гг. Требования к межсетевым экранам, операционным системам и СУБД должны пройти обсуждение в экспертном сообществе в этом году и будут нормативно закреплены в начале следующего. Требования к BIOS, средствам управления потоками информации, DLP-системам, средствам контроля и анализа защищенности, средствам контроля целостности, средствам ограничения программной среды, средствам идентификации и аутентификации, средствам управления доступом, средствам разграничения доступа планируется обсудить и утвердить в течение следующего года.