Ответ ФСТЭК по поводу требования сертификата на средства защиты, включаемые в реестр отечественного ПО

Законодательство
Месяц назад я публиковал ответ Минкомсвязи на запрос одного из отечественных стартапов, разработавших облачную систему ИБ, по поводу требования сертификата соответствия требованиям информационной безопасности при включении в реестр отечественного ПО. Недавно история получила свое продолжение. Оказалось, что Минкомсвязи аналогичный вопрос направил в ФСТЭК и на днях был получен ответ, который коллеги из стартапа переслали и мне для ознакомления.

На первый вопрос о применимости сертификатов по «Общим критериям» для включения в реестр ответ, на мой взгляд, был предсказуем. Использовать их нельзя, так как в России «Общие критерии» не действуют и не приняты в качестве системы оценки соответствия по требованиям безопасности. Это давняя история и решения (признания «ихних» сертификатов у нас и наших у них) у нее, видимо, уже не будет никогда.

Самый главный ответ следовал под номером 5. Он также был очевиден для меня и я про это уже писал в феврале. Я считал и считаю, что ПП-1236 достаточно четко говорит о том, что для включения в реестр отечественного ПО требуется сертификат соответствия требованиям по безопасности и это может быть либо сертификат ФСТЭК, либо ФСБ. Однако та заметка вызвала большое количество споров в Facebook и многие апологеты реестра и патриоты отечественной индустрии ПО стали мне доказывать, что никаких сертификатов не нужно и реестр создавался не для этого. И вот ответ регулятора — сертификат на средство защиты нужен.

Так как у стартапа, который задает все эти вопросы (и не боится, как многие именитые игроки рынка ИБ), решение облачное, а на него достаточно сложно получить сертификат, то они задали вопрос о возможности аттестации своей облачной системы защиты информации. Ответ ФСТЭК неутешителен — аттестата недостаточно. Тут, как мне кажется, ФСТЭК продемонстрировала, что пока они не готовы к облачным средствам ИБ. Они не знают, как их оценивать.

В качестве резюме еще раз хочу озвучить свою позицию. Если буквально читать ПП-1236, то в нем написано, что на средства защиты сертификат ФСТЭК или ФСБ нужен. Точка. Дальше можно сколь угодно обсуждать, что реестр создавался для другого, что есть разъяснение министра, что заказчики и так должны покупать сертифицированные СрЗИ, но все это ни о чем. Есть формальное требование, которое должно быть соблюдено. И я дискутирую только по этому поводу. Все остальное мне по барабану. И реестр, и разъяснение министра, и планы по внесению изменений в ПП-1236. Вот внесут, тогда и поговорим.

Пока моя позиция остается неизменной — сертификат нужен. Если Экспертный совет при Минкомсвязи не просит, то это их проблема и они сами дискредитируют реестр, нарушая действующее законодательство в пользу своих коммерческих интересов и лишний раз подтверждая мысль, что реестр отечественного ПО в его нынешней версии — это профанация. Особенно после включения в реестр ПО на базе явно не российского EMC Documentum.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. yuyup

    А EMC в курсе?)

    Ответить
  2. Алексей Лукацкий

    Да

    Ответить