Анализ реестра сертифицированных средств защиты ФСТЭК за 2017 год

Основной тенденцией прошедшего года стало существенное (трехкратное) сокращение числа иностранных средств защиты, получивших сертификаты ФСТЭК. На мой взгляд это обусловлено несколькими причинами:

• ужесточение требований по сертификации (и дальше будет только хуже, но об этом в следующей заметке)
• курс на импортозапрещение и нежелание иностранных игроков бессмысленно тратить деньги на то, что невостребовано заказчиками.

Вообще динамика сертификации традиционных средств защиты выглядит не очень позитивно — число сертифицированных решений неуклонно снижается, что связано, на мой взгляд, с серьезным ужесточением требований ФСТЭК по оценке соответствия. Даже российские компании не всегда в состоянии их выполнить, не говоря уже об «иностранцах». А уж поддерживать сертифицированное решение в актуальном состоянии и вовсе задача неподъемная для многих.

Из отдельных тенденций я бы отметил еще следующее:

• за прошедший год в России не было сертифицировано ни одного промышленного МСЭ и это несмотря на активную шумиху вокруг темы защиты АСУ ТП и безопасности КИИ
• прикладных МСЭ (класс В) сертифицировано всего… 1 изделие, а всего по новым требованиям к МСЭ было выдано 8 сертификатов по классу А и 4 — по классу Б
• систем обнаружения атак было сертифицировано по 3 каждого класса = сетевого и хостового
• несмотря на шумиху вокруг темы SOC и активную разработку отечественных SIEM, сертификат на данные типы средств (необходимы для получения лицензий ФСТЭК на мониторинг ИБ) был выдан всего 1 (на MaxPatrol SIEM)
• а вот IDMов было сертифицировано целых 5 — и отечественных, и иностранных
• из отечественных офисных решений заветную бумажку получил только «МойОфис», отечественное сетевое оборудование отметилось всего одним сертификатом ФСТЭК (на Cisco при этом было выдано около десятка сертификатов), а также было сертифицирована одна «отечественная» ОС (Нейтрино). Известные Альт Линукс и некая EcoRouter были сертифицированы почему-то как СВТ. И если для Альт Линукс это еще можно понять (хотя РД на ОС уже были), то сетевая ОС как СВТ?.. Это за гранью.

Что в свухом остатке? Если раньше термин «импортозапрещение» вместо «импортозамещения» звучал как шутка, то проведенный анализ показывает, что это вполне реальное отражение дел. Отечественных решений больше не стало ни количественно, ни качественно, а число зарубежных сократилось в разы. Иногда упоминаемый министром связи термин «экспортопригодность» тоже показал свою полную недееспособность — взрывного интереса иностранцев к российским решениям не появилось, а там, где некоторые российские ИБ-производители чувствовали себя вполне уверенно, начались проблемы (вспомним кейс с Лабораторией Касперского в США, Великобритании и др.).

И надо признать, что ситуация будет только хуже. Во-первых, ФСТЭК еще больше ужесточает требования по сертификации (про это я напишу завтра). Во-вторых, заказчики не имеют возможности брать то, что им нужно. Иностранное они не могут, а отечественного просто нет (я даже не говорю, когда отечественное хуже, а именно про те ситуации, когда отечественного вообще нет). В-третьих, иностранные вендоры боятся или физически не могут сертифицировать свои продукты в России. В-четвертых, на развитие отечественной ИБ-отрасли денег как не выделяли, так и не выделяют.А тут еще грядет цифровая экономика, для которой нужно еще больше ИТ/ИБ-решений, чем было раньше. И где их брать при существующих требованиях по ИБ, выставленных государством? Если на 2018-й год программа «Цифровой экономики» по направлению ИБ требует 5 миллиардов рублей, то правительство выделило всего 500 миллионов. И что на эти деньги можно сделать? Ничего 🙁

ЗЫ. Снижение числа сертификаций означает еще и тот факт, что у испытательных лабораторий могут начать сложности с финансированием, что приведет либо к сокращению числа лабораторий, либо к увеличению цен на сертификацию, либо к снижению качества сертификации при тех же ценах. И все эти варианты непозитивны 🙁