ФСТЭК сокращает сроки сертификации
На конференции "SOC Форум 2022" регуляторы поделились ближайшими планами по выпуску новых или корректировке действующих документов. Наибольшее количество анонсов озвучил заместитель директора ФСТЭК Виталий Лютиков. В частности, он заявил, что новый порядок категорирования объектов критической информационной инфраструктуры находится на финальной стадии согласования.
Также Виталий Лютиков объявил о давно ожидаемом изменении во внутренних регламентах ФСТЭК, согласно которому сроки сертификации будут заметно сокращены. Однако это не касается вопросов, связанных с работой тестовых лабораторий. Также преференции получают компании, которые применяют технологии безопасной разработки, что также давно ожидалось.
"ФСТЭК в последние годы проводит очень интересную работу по обеспечению безопасной разработки. То есть постепенно вводятся требования, которые регламентируют сам процесс разработки, а не только свойства разработанного программного продукта. Это обеспечивает новый уровень безопасности, возможность реального обеспечения жизненного цикла сертифицированного ПО. Мы у себя проводим работу по интеграции средств контроля в нашу инфраструктуру разработки и видим реальное улучшение уровня поддержки своих продуктов", - считает председатель совета директоров ООО "Базальт СПО" Алексей Смирнов. По его мнению, делать выводы о сокращении сроков пока рано, но раньше ФСТЭК всегда выдерживала установленные нормативы.
"Нужно понимать, что процедура сертификации - комплексная работа и в большей части зависит от заявителя и его готовности. C недавних пор ФСТЭК сократила сроки по некоторым процессуальным моментам, а также упростила требования. Эти меры и то, что SDL-процессы внедряет все большее количество отечественных разработчиков, а также совершенствование нормативной документации, вместе дают синергетический эффект ускорения", - говорит директор по стратегии и развитию технологий Axiom JDK компании "Беллсофт" Роман Карпов.
"Порядок сертификации процедуры разработки еще не опубликован, ждем с нетерпением. Думаю, что мы уже провели основные технические работы для подготовки к такой сертификации. Это очень правильно - сертифицировать именно процесс разработки, это значительно эффективней, чем потом искать уязвимости в уже разработанном продукте. Меры по обеспечению безопасности должен прежде всего принимать сам разработчик. Такая модель позволяет работать оперативней, удовлетворяя потребности пользователей и не снижая при этом требований к безопасности", - так Алексей Смирнов прокомментировал возможные преференции для тех, кто внедрит технологии безопасной разработки.
"Внедрение SDL решает не только задачи, связанные с сертификацией, тут скорее речь о повышении качества программных продуктов отечественными разработчиками, и это экономически оправданно с точки зрения бизнеса, ведь код с минимальным количеством ошибок дешевле поддерживать, - уверен Роман Карпов. - В этом году мы получили много запросов на сертифицированную ФСТЭК платформу Java от отечественных разработчиков ПО, системных интеграторов и облачных провайдеров, которые планируют и реализуют сертификацию ФСТЭК для своих решений. То есть наши инвестиции в развитие рынка, внедрение и популяризацию принципов безопасной разработки оправданны".
"Пора признать "бумажную безопасность" архаизмом. Сегодня, когда критическое значение имеет скорость реакции, такой подход не способен обеспечить реальную технологическую защищенность. Именно поэтому мы приветствуем инициативы ФСТЭК и высоко ценим усилия службы по переходу от устаревших норм к новым, отвечающим потребностям рынка", - заявил заместитель генерального директора Postgres Professional, глава комитета по интеграции российского ПО АРПП "Отечественный софт" Иван Панченко.
Замглавы ФСТЭК также объявил, что завершена разработка требований по безопасности контейнеров, виртуализированных и облачных сред. Этот документ уже рассылают по разработчикам.
Прошли второе чтение изменения в статье 19.7.15 Кодекса об административных правонарушениях, которая вводит ответственность для нарушителей законодательства о защите критической информационной инфраструктуры (КИИ). Данная мера, как подчеркнула начальник управления ФСТЭК Елена Торбенко, давно назрела, поскольку такого рода нарушения носят массовый характер и у регуляторов нет никаких действенных мер давления.
Представитель НКЦКИ Андрей Раевский назвал основными драйверами нормотворчества изменения в законодательство по защите персональных данных и указ №250 президента России. Он объявил о завершении работ над проектом документа, регламентирующего мониторинг защищенности объектов КИИ, который 15 ноября. Идет работа над приказом, который устанавливает порядок уведомления системы ГосСОПКА об утечках персональных данных. Операторы могут это делать или напрямую, или уведомляя Роскомнадзор. Соответствующий приказ уже находится на согласовании в Министерстве юстиции.
"Стоит отметить динамику внесения изменений в регламентирующие документы ФСТЭК, направленные на соответствие современному технологическому стеку ГИС/ГАС, систем КИИ и применение практик безопасной разработки, что в свою очередь позволит повысить качество сертификации и ускорить ее. Благодаря работе НКЦКИ участники отрасли были своевременно информированы об актуальных киберугрозах, мерах и способах их профилактики и устранения. Отложенная регуляторная мера Центрального банка, нормативная документация о показателях операционной надежности своевременно вступила в действие, плюс у отрасли было время подготовиться", - такую оценку работе регуляторов дал Роман Карпов.
