Cертификат ИБ‑продукта будут отзывать, если сначала уязвимость найдет ФСТЭК
Федеральная служба по техническому и экспортному контролю (ФСТЭК) анонсировала изменение подхода к сертификации средств защиты информации. Регулятор намерен отзывать сертификаты у вендоров, если обнаружит уязвимости в их продуктах раньше, чем это сделают сами разработчики, сообщила директор по корпоративным продажам «Лаборатории Касперского» Марина Усова в ходе выступления на SOC‑форуме.
«ФСТЭК на днях нам сообщил, что они чуть‑чуть меняют подход к вендорам. А именно: если уважаемый регулятор увидит уязвимость раньше, чем мы о ней сообщим, у нас отзовут сертификат. Так что будем еще безопаснее», — констатировала она.
Сейчас сертификаты ФСТЭК выдаются на средства защиты информации (антивирусы, системы обнаружения вторжений и др.) после прохождения строгих испытаний. Для их получения вендоры должны подтвердить соответствие продукта требованиям по безопасности, включая устойчивость к известным угрозам и наличие механизмов обновления. Сертификат могут отозвать в случае выявления критических уязвимостей, нарушения условий эксплуатации или предоставления недостоверных данных при сертификации.
Начальник управления ФСТЭК России Елена Торбенко, выступая на форуме, обратила внимание, что регулятор уже давно ждет от бизнеса полного соответствия требованиям и оперативного устранения нарушений, в противном случае должна наступать ответственность.
«Законодательство принято давно, времени для устранения нарушений было достаточно. Количество атак только увеличивается, поэтому давайте вместе сделаем нашу жизнь безопаснее, А если возникнут проблемы, коллеги, будем решать — обращайтесь», — предложила Елена Торбенко представителям бизнеса.
«Лаборатория Касперского» — один из ведущих российских разработчиков ИБ‑решений, чьи продукты регулярно проходят сертификацию ФСТЭК. Для пользователя сертификата это означает, что продукт соответствует государственным стандартам безопасности и разрешен к применению в госорганах и на объектах критической инфраструктуры. Наличие сертификата служит гарантией определенного уровня защиты данных и снижает риски при работе с конфиденциальной информацией.
Для бизнеса новое решение ФСТЭК создает дополнительные стимулы к усилению контроля за безопасностью продуктов.
Вендоры будут вынуждены наращивать ресурсы на раннее выявление уязвимостей и оперативное реагирование на угрозы. Это может привести к росту затрат на ИБ‑исследования, но в долгосрочной перспективе повысит доверие к сертифицированным решениям.
Пользователи также получат выгоду: ужесточение требований к сертификации сделает ИТ‑продукты более надежными. Особенно это важно для госсектора и компаний из сферы критической инфраструктуры, где применение несертифицированных средств защиты запрещено. Ожидается, что благодаря этим мерам рынок ИБ‑решений станет прозрачнее, а уровень защищенности информационных систем — выше.
