Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила новые требования к софту в области кибербезопасности, действие которых распространяется на антивирусы, межсетевые экраны, софт для борьбы со спамом и защиты веб-трафика, системы защиты от утечек информации и защищенные операционные системы.
Как пишет "Коммерсант", одобренный ФСТЭК документ вступит в силу 1 июня 2019 года, а до 1 января 2020 года разработчики защитного софта должны будут при участии испытательных лабораторий ФСТЭК оценить соответствие своих продуктов новым требованиям и провести испытания по выявлению уязвимостей и недекларированных возможностей. Если компании не сделают это, действие их сертификатов может быть приостановлено.
По словам собеседников издания на рынке кибербезопасности, с исполнение новых правил могут возникнуть проблемы. "Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах средства защиты информации в какой-то момент могут оказаться без действующих сертификатов", – допустил представитель компании-разработчика.
Главный конструктор Astra Linux Юрий Соснин считает, что компаниям придется нести дополнительные расходы. "Реализация новых требований – достаточно серьезная работа: анализ, разработка продукта, его непрерывное сопровождение и устранение недостатков", – сказал Соснин, отметив, что ужесточение требований может отсеять недобросовестных участников рынка.
Вероятно, наибольшие трудности новые требования создадут иностранным компаниям. Как отметил директор по технологиям компании "Инфосекьюрити" Никита Пинчук, документ ФСТЭК обязывает разработчиков передать на проверку исходный код решений с описанием каждой функции и механизма работы. По мнению эксперта, крупные разработчики никогда не предоставят код, который составляет коммерческую тайну. Это значит, что количество иностранных средств защиты в российских госорганах скоро сократится. Для российских компаний это будет означать снижение конкуренции.
Наконец, эксперт по кибербезопасности Алексей Лукацкий отметил, что сейчас до половины всего рынка информационной безопасности в России приходится на госорганы и госкорпорации, причем до недавнего времени две трети его занимали решения зарубежных компаний. Но изменения в законодательстве уже привели к тому, что число сертификатов на зарубежные средства защиты сократилось и составляет теперь пятую часть от общего числа.