18 февраля во всем известном Реестре российского ПО было всего три позиции (два приложения для школьников от «1С» и СУБД «Ред База Данных»), и в «Коммерсанте» вышла статья о фактически неработающем реестре. Кстати, согласно исследованию РБК (март 2015) «Коммерсант» является вторым по популярности неспециализированным СМИ среди чиновников, и особенно сильны его позиции в Минфине и аппарате правительства. А уже 19 февраля Министерство связи и массовых коммуникаций утвердило вторую порцию ПО.

Количество ПО в Реестре разом подскочило с 3 до 87 позиций и теперь представляется возможным посмотреть, какие производители проявили большую приверженность российскому рынку и были включены в Реестр в числе первых.

Неожиданным лидером стал известный казанский разработчик приложений для бюджетной сферы «БАРС Групп». Значимая часть списка составили решения для оцифровки и управления документооборотом. Сферу ИБ представили Dr. Web (более 10% всех позиций в реестре, что заметно больше средней доли ИБ в ИТ-бюджетах) и решение Digital Design «Защищенная мобильность».

Будучи единственным производителем антивирусных решений в списке, Dr. Web становится «калифом на час». Список позиций вендора включает решения по защите корпоративных, мобильных и пользовательских технологий. В том числе бесплатной утилиты CureIt! (кто-то из дилеров продает бесплатное ПО или это просто перестраховка для максимального снятия политических рисков для клиентов?).

В 2013-м мне довелось управлять проектом аудита «защищенного» мобильного приложения, предназначенного для доступа руководителя предприятия ТОП-20 экономики к конфиденциальным корпоративным данным. «Защищенное» приложение без боя отдало криптографические ключи и не имело необходимого сертификата ФСБ (не была проведена проверка корректности встраивания криптобиблиотеки). В 2014-м на конференции ZeroNights исследователи Сергей Солдатов и Михаил Егоров продемонстрировали хищение криптографического ключа через легко эксплуатируемые уязвимости наиболее популярного криптопровайдера и одного из ведущих производителей токенов. Проведение тестирования реальной защищенности криптографических (и других) решений внутри организации-заказчика позволит не только проверить соответствие декларируемых возможностей реальным, но и сформировать новые практические критерии для обоснования выбора продуктов не из Реестра, если в таковом будут только «фантики».

На подходе еще 157 продуктов, что опубликованы в разделе «Заявления» Реестра по состоянию на 21.02.2016, в том числе целый ряд продуктов для обеспечения ИБ:

1. ОС Astra Linux Special Linux.

2. 26 продуктов «Лаборатории Касперского» (включая недавно выведенные на российский рынок Industrial Cybersecurity, Fraud Prevention, Anti Targeted Attack Platform и Private Security Network).

3. Пять продуктов «Кода безопасности» линеек SecretNet, vGate, TrustAccess.

4. Интернет-шлюз Ideco ICS (обычная и сертифицированная версии).

5. Интернет-шлюз «Интернет Контроль Сервер».

6. СКАТ (Система Контроля и Анализа Трафика).

Пока что количество ИБ-позиций растет опережающими темпами, что может создать у лиц, принимающих решения, ложную уверенность что с собственными ИБ-продуктами в России все хорошо. Увы, это пока не так, большинство внутренних продуктов неконкурентоспособно (это хорошо видно по их продажам на мировом рынке) и даже некоторые продукты известных в мире российских ИБ-брендов до сих не удалось вывести на стабильный режим работы.

Автор статьи — сертифицированный специалист по управлению информационной безопасностью корпоративных и облачных ландшафтов, член ISACA, ASIS, ACFE.