Рубрикатор |
Статьи | ИКС № 09-10 2015 |
Александра КРЫЛОВА  | 10 ноября 2015 |
Что мешает импортозамещению?
Сегодня в России разрабатываются, производятся и сертифицируются все классы средств защиты информации. Однако надеяться на то, что в скором времени они заменят собой импортные программные продукты, не стоит. Кто в этом виноват и что делать?
Ответы на главные для нас вопросы искали участники сессии «Импортозамещение в сфере информационной безопасности» на форуме Infosecurity-2015.
С точки зрения регулятора
Процесс уменьшения доли средств защиты информации (СЗИ) зарубежного производства сдерживается сразу несколькими факторами. Не все они, по словам Виталия Лютикова (ФСТЭК России), непосредственно связаны с импортозамещением, однако преодоление каждого из них будет способствовать активизации процесса. И корни большей части этих проблем уходят вглубь российских компаний – разработчиков средств защиты информации. Первой проблемой В. Лютиков назвал продвижение российскими компаниями импортных СЗИ. Иными словами, вместо того, чтобы поддерживать и развивать собственные программные продукты, они инициируют сертификацию разработок иностранных вендоров.
Еще одной проблемой является бесконтрольное применение отечественными компаниями программного обеспечения с открытым кодом, особенно построенного путем компиляции из общедоступных библиотек. Между тем уязвимостей в СПО выявляется намного больше, чем в лицензионных продуктах. И разработчики СЗИ на базе программного обеспечения с открытым кодом должны быть готовы выполнить требование регулятора в случае обнаружения уязвимости быстро ее закрыть.
Немало трудностей госзаказчикам СЗИ и регулятору создает прикладное программное обеспечение, построенное на базе импортного общесистемного ПО. К примеру, корпорация Microsoft отказалась от поддержки и выпуска обновлений для Windows XP, а прикладное ПО для этой операционной системы по-прежнему разрабатывается и внедряется в органы государственной власти. Вопрос о том, кто, если не вендор, должен закрывать уязвимости, регулятору пришлось решать в оперативном порядке. Рекомендация, которую дает ФСТЭК России российским разработчикам СЗИ, – изначально строить свои продукты как кросс-платформенные, чтобы не зависеть от политики иностранных вендоров.
В отношении выявленных уязвимостей позиция регулятора остается неизменной. «Мы считаем, что если в продукте есть уязвимость, то функции безопасности, которые там задекларированы, не выполняются», – подчеркнул В. Лютиков. По его словам, заявляя средство защиты информации на сертификацию, его разработчик берет на себя обязательство и выполнять требования по защите информации, и своевременно устранять обнаруженные уязвимости. Для этого заявитель должен выработать определенные механизмы и наладить отношения с зарубежным вендором, программные компоненты которого он использовал в своем продукте.Если же производитель средства защиты информации не может устранить уязвимость, дело может дойти до отзыва у этого продукта сертификата.
В свою очередь, ФСТЭК, которая в последние годы работает над совершенствованием нормативной базы, готова способствовать решению такой проблемы отечественных компаний, как отсутствие процедур безопасной разработки СЗИ российского производства. Ею был подготовлен Национальный стандарт безопасной разработки. Этот документ прошел обсуждение на Техническом комитете по стандартизации ТК 362 «Защита информации» с небольшими оговорками, получил поддержку в ФСБ и до конца 2015 г. будет внесен на утверждение в Росстандарт. В. Лютиков отметил, что опыт внедрения отдельных механизмов этого документа у некоторых компаний уже есть, и рекомендовал российским разработчикам и производителям СЗИ начать постепенно требования стандарта реализовывать. На первых порах Национальный стандарт будет носить рекомендательный характер.
Что видят эксперты?
За время активного обсуждения темы импортозамещения в сфере защиты информации у компаний, выступающих заказчиками таких программных средств, сложились мифы, которые отнюдь не помогают им в обеспечении информационной безопасности. Во-первых, отметил Илья Медведовский (Digital Security), не стоит принимать на веру тезис о том, что российское программное обеспечение, продукты, разработанные отечественным вендором, всегда безопасны.
Надо понимать, что возможности отечественного вендора вкладывать средства в безопасность своих программных продуктов на порядок меньше, чем у его зарубежных коллег: это для него слишком дорого и удлиняет процесс разработки продукта. Так что SAP, Microsoft и Oracle обладают намного более развитой инфраструктурой безопасного программирования. К тому же, поскольку решения отечественных компаний на международном рынке практически неизвестны, исследователи со всего мира, которые ищут уязвимости в продуктах крупных международных вендоров, российскими программными продуктами не интересуются.
Хотя надо понимать, что крупным международным компаниям, сколько бы они не декларировали свою открытость, невыгодно создавать в России центры по исследованию программного кода своих продуктов.
Деловую и служебную информацию – под российскую защиту | ||
В условиях, когда и зарубежное, и российское программное обеспечение потенциально небезопасно, эксперту видится один путь – вместо разговоров об импортозамещении заниматься серьезным углубленным контролем программных продуктов, которые используются сегодня в России, вне зависимости от того, на территории какой страны они разработаны.
Для повышения качества отечественных СЗИ, считает Александр Баранов (ГНИВЦ ФНС России), необходимо решить проблему, связанную с неполным тестированием прикладной эффективности этих технологических продуктов. По его словам, структура современного программного обеспечения настолько сложна, что оттестировать его полностью силами одной компании-производителя невозможно. Недаром даже ведущие мировые разработчики, такие как Oracle и Microsoft, прибегают к массовому тестированию, а некоторые из них выпускают продукты, тестирование которых завершается уже в процессе эксплуатации.
Выход из этой ситуации – создание испытательного центра для тестирования сложных технологий отечественной разработки, возможно, на коммерческой основе, но при финансовой поддержке государства.
Курс ФСТЭК на совершенствование нормативной базы способствовал активному использованию понятия «доверие», которое включает в себя третья книга стандарта ГОСТ Р ИСО/МЭК 15408 «Общие критерии», при оценке характеристик безопасности программных продуктов и информационных систем. (Доверие – это основа для гарантии того, что проект или ИТ-система отвечают установленным для них функциональным требованиям безопасности). А вот другое понятие из этого же документа – «требования доверия к безопасности информационных систем», по словам Александра Трубачева («ЦБИ-Сервис»), еще предстоит в нормативной базе учесть.
На сегодняшний день, констатировал А. Трубачев, качество средств защиты информации наших отечественных разработчиков существенно уступает зарубежным продуктам. Для исправления этого положения дел нужно внедрять лучшие практики, которые базируются на международных стандартах. Для организации процессов разработки и сопряжения ПО следует опираться на положения ГОСТ Р ИСО/МЭК 12207 и ГОСТ Р ИСО/МЭК 25288. Для обеспечения доверия безопасности процесса разработки – на стандарты ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 15791. Есть смысл обратить внимание и на направление, которое сейчас активно развивается на Западе, – оценку зрелости процесса разработки информационных технологий на основе стандарта ГОСТ Р ИСО/МЭК 21827. В области сертификации СЗИ важны переход на новую систему нормативных документов ФСТЭК на основе стандарта ГОСТ Р ИСО/МЭК 15408, совершенствование методологии проведения сертификационных испытаний и внедрение новых правил ФСТЭК по аккредитации органов сертификации испытательных лабораторий.
Мнение участников рынка
Несмотря на то, что доля российских компаний среди поставщиков СЗИ составляет около 65%, они тоже заинтересованы в поддержке со стороны государства, причем не только в совершенствовании нормативной базы. По словам Андрея Голова («Код Безопасности»), государство, выступающее в роли проводника на международные рынки для Рособоронэкспорта и Росатома, могло бы помочь в таком продвижении и российским компаниям – разработчикам средств защиты информации.
Если в области сетевой безопасности отечественным вендорам проявить себя сложно, поскольку от лидеров они отстают в среднем на пять-семь лет, то остается несколько сегментов, двигаться в которые их заставляет логика развития бизнеса. Для компании «Код Безопасности» таким является направление безопасности конечных точек. На зарубежный рынок со своим продуктом ей нужно выходить в силу того, что российский рынок рабочих станций конечен. Кроме того, на мировом рынке есть свободные сегменты, такие, как защита виртуализации. «В этом направлении можно сильно продвинуться, – сказал он, – поскольку продуктов в мире для этой цели не больше десятка». Но для того чтобы разрабатывать СЗИ для виртуализации и для мобильности, оба направления, убежден А. Голов, должны быть востребованы государственными структурами и органами госвласти.
Для повышения конкурентоспособности российских программных продуктов в области информационной безопасности полезно взаимовыгодное сотрудничество с профильными стартапами. Крупные компании таким образом получают доступ к перспективным технологиям, а молодые команды могут развиваться рядом с большими вендорами. Не менее полезным может стать путь интеграции решений разных отечественных разработчиков. Тем более что для достижения таких договоренностей между ними помощи государства не требуется.