Сертифицируй это
Проверка благонадежности ПО может занимать годы, но это того стоитВсе чаще в отраслевых нормативных документах и в выступлениях чиновников звучат настоятельные рекомендации, а порой и требования использовать только сертифицированное по требованиям безопасности в уполномоченном органе (ФСТЭК, ФСБ, Минобороны) программное обеспечение. Например, такие нормы есть в документах Банка России, адресованных участникам финансового рынка. В то же время эксперты указывают, что сертификация – мероприятие долгое и дорогостоящее, поэтому принимать решение о необходимости сертификации необходимо исходя из реалий и потребностей конкретной организации.
Зачем сертифицировать ПО
Сам по себе термин «сертификация» означает подтверждение заявленных характеристик товара, работ, услуг или даже квалификации специалиста третьей стороной. Сертифицированное по требованиям безопасности программное обеспечение (ПО) – это программа, прошедшая процедуру проверки соответствия требованиям государственных стандартов и нормативных документов по защите информации Федеральной службы по техническому и экспортному контролю России (ФСТЭК России) и ФСБ России.
Тот же принцип действует и при сертификации программных продуктов. «Суть процедуры сертификации ПО заключается в его комплексной проверке, в том числе его исходного кода, – поясняет советник генерального директора Content AI Олег Сажин. – В ходе проверки ищут вредоносные программные закладки и вирусы, поскольку такие скрытые элементы позволяют злоумышленникам в определенный момент получать доступ к системе». По словам экспертов, выбор сертифицирующего органа напрямую зависит от того, где в дальнейшем будет использоваться то или иное решение. «Например, ПО, предназначенное для установки на предприятиях оборонно-промышленного комплекса, не может использоваться без наличия сертификата Минобороны. На средства криптографической защиты нужно получать сертификат ФСБ, – рассказывает управляющий «RTM Group» Евгений Царев. – Средства защиты информации подлежат сертификации во ФСТЭК».
По словам генерального директора группы «Иннотех» Дмитрия Харитонова, сертификация программных продуктов в Минобороне, ФСТЭК России и ФСБ проводится для обеспечения гарантий на уровне государства соответствия ПО принятым требованиям безопасности.
В большинстве случаев, указали эксперты, программные продукты сертифицируют именно во ФСТЭК России. В службу подают заявления на решения, которые планируется использовать в государственных информационных системах; автоматизированных системах управления технологическим процессом; при обработке персональных данных; на объектах критической информационной инфраструктуры; там, где используется конфиденциальная информация, есть статус гостайны. В этом случае нужен сертификат именно ФСТЭК России.
Добровольно и не очень
По словам Олега Сажина, при сертификации ПО исследование могут проводить эксперты как ФСТЭК России (Минобороны, ФСБ), так и аккредитованных ими компаний. Проверку проводят на разных уровнях: анализируют функциональность и механику, проводят тестирование на различных сценариях.
Обязательная сертификация выполняется на соответствие государственным регламентам, определяют их органы власти. Добровольная может проводиться на соответствие национальным или отраслевым стандартам, договору и т. д. «В России программы добровольной сертификации средств защиты данных и информационных технологий не слишком распространены, – отмечает Дмитрий Харитонов. – Это может быть связано с хорошо развитой системой государственной сертификации и высокой степенью доверия к ней».
Дмитрий Харитонов подчеркнул, что сертификация обязательна только для продуктов, которые выполняют функции по защите (включая идентификацию, аутентификацию, управление доступом и т. п.) определенной информации, имеющей отношение к гостайне, госресурсам и т. д. При этом не имеет значения, в открытом или закрытом контуре они стоят, используется решение вендора или самописное ПО.
Однако, если в нормативных документах нет указания о необходимости сертификата, это не означает, что его не запросит заказчик. По словам Евгения Царева, в тендерной документации госструктур на закупку ПО наличие сертификата ФСТЭК России порой бывает указано как обязательное требование даже в тех случаях, когда ни по одному нормативному документу сертификация не нужна. И это при условии, что решения с сертификатом стоят существенно дороже.
А если без сертификата?
Однако имеет ли смысл разработчикам ПО сертифицировать все свои решения? «На мой взгляд, нет необходимости сертифицировать все ПО без разбора, поскольку в некоторых случаях несертифицированные версии могут предложить больше функций и быстрее адаптироваться к изменениям рынка», – указывает владелец российского решения по защите от DDoS-атак Servicepipe Даниил Бобрышев.
Эксперт пояснил, в каких случаях сертификация может только мешать.
Например, после любых апгрейдов или обновлений необходимо проходить повторную сертификацию. Но так как сертификация – мероприятие долгое и дорогостоящее, то очевидно, что сертифицированные версии никто не стремится обновлять часто. В итоге несертифицированная версия может быть более продвинутой и быстрее реагировать на изменения конъюнктуры. Кроме того, у несертифицированной версии ПО может быть более широкий функционал в отличие от сертифицированной, в которой возможны ограничения, связанные с необходимостью соблюдения уровня защищенности или класса защиты.
«Сертификацию следует рассматривать с учетом потребностей и требований конкретной организации или проекта, – говорит Даниил Бобрышев. – Первичная сертификация продукта может занимать больше года, в течение которого продукт уже может приносить пользу, если использовать несертифицированную версию».
По словам Олега Сажина, зачастую вендоры проводят эту процедуру точечно, в рамках конкретного проекта, сертифицировать же всю линейку продуктов или разные версии продукта смысла нет. Поэтому нередки случаи, когда у одного решения две версии (сертифицированная и нет) с минимальным отличием по функционалу и ощутимой разницей в цене.
Есть ли альтернатива
Все эксперты сходятся во мнении, что сертификация – это дорогостоящее и долгое мероприятие. По их оценкам, минимальный срок – от полугода, порой процесс с учетом всех тестирований и испытаний занимает до двух лет. «Длительность прохождения сертификации, стоимость ее прохождения напрямую зависят от объема кода, использованного в ПО, – указывает Евгений Царев. – Стоимость сертификации исчисляется миллионами или десятками миллионов рублей, на моей памяти самый дешевый кейс по сертификации ФСТЭК России обошелся разработчику в 1,5 млн руб.».
Порой отраслевые регуляторы разрешают вместо сертификации делать оценку соответствия в аккредитованных лабораториях. Например, Банк России требует от банков использовать прикладное ПО автоматизированных систем и приложений, которое сертифицировано ФСТЭК России или же для которого проведена оценка соответствия по ГОСТу.
«Оценка соответствия – тоже небыстрое мероприятие, но все же быстрее сертификации. В тех случаях, когда ФСТЭК России проводила бы работы в течение двух лет, аккредитованные лаборатории проводят все необходимые испытания за год», – указал Евгений Царев.
Эксперты сошлись во мнении, что, несмотря на длительность процедуры сертификации и ее дороговизну и, соответственно, более высокую стоимость сертифицированных решений, спрос на такие продукты со стороны бизнеса растет.
Генеральный директор компании «МойОфис» Павел Калякин отметил, что все больше компаний выбирают доверенные IТ-продукты российских разработчиков с высокой культурой безопасной разработки. Индикатор такой гарантии доверия к ПО – наличие сертификата ФСТЭК России. Проводя сертификацию, регулятор проверяет отсутствие в программных продуктах недекларированных возможностей и уязвимостей, корректность работы встроенных механизмов защиты. Применение доверенных программных средств создает серьезный барьер для киберпреступников и помогает компаниям построить результативную систему безопасности.
По словам Олега Сажина, отчасти это объясняется импортозамещением, причем инициативу проявляют сами вендоры, которые хотят предоставлять заказчикам гарантии полной безопасности своих продуктов. Сохраняя при этом и несертифицированные версии для тех, кому важнее возможность быстрых обновлений и более широкий функционал несертифицированного ПО.