2025/12/30 16:27:29

Сертификация ФСТЭК


Содержание

Основная статья: ФСТЭК

Хроника

2025

ФСТЭК планирует контролировать компоненты с открытым кодом и контейнеры в средствах защиты

В конце декабря ФСТЭК обнародовала на сайте общественного обсуждения нормативных актов проект приказа с названием «О внесении изменений в положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК от 3 апреля 2018 г. № 55»[1], в котором предполагается внести изменения в процедуру сертификации средств защиты. Предполагается, что общественное обсуждение документа продлится до 9 января 2026 года.

ФСТЭК рассчитывает получить от разработчиков средств защиты перечни заимствованных компонент.

В пояснительной записке к документу сказано, что в процедуру сертификации средств защиты информации предполагается внести следующие изменения:

  • обязательность представления заявителем на сертификацию перечня заимствованных программных компонентов с открытым исходным кодом и образов контейнеров;
  • уточнение комплектности материалов сертификационных испытаний средств защиты информации;
  • уточнение порядка внесения изменений в сертифицированное средство защиты информации.

Ключевым изменением является требование предоставления в документах на сертификацию средства защиты перечня компонент с открытыми исходными кодами и образов контейнеров, поскольку теперь лабораториям придётся учитывать безопасность не только основного кода продуктов, но и всех заимствованных компонент. Хотя подобная практика неофициально была и раньше — лаборатории просто запрашивали дополнительные материалы на продукты. Сейчас же они должны представляться сразу. Причём, разработчики придётся держать эти перечни необходимо в актуальном состоянии — в правилах есть требование менять указанные списки в течении 5 дней, если в них произошли изменения.Как построить цифровой фундамент для мебельного ритейла будущего 8 т

Как пояснил TAdviser Андрей Бирюков, вице-президент InfoWatch по исследованиям, разработке и сервисам, анализ сторонних компонентов, используемых в продукте, проводился как минимум последние 10 лет. Когда решение в рамках сертификации поступает в испытательную лабораторию, ее специалисты запрашивают список сторонних компонентов и анализируют его. И если в компании выстроен процесс разработки, применяются принципы SDL, заимствованные компоненты регулярно обновляются и контролируются, то нет никакой проблемы в том, чтобы приложить эти сведения к заявке во ФСТЭК.

«
На мой взгляд, это единственная правильная практика с точки зрения обеспечения безопасности своего продукта – когда в нем есть заимствованные компоненты, разработчик обязан знать их список, версии и контролировать уязвимости в них, — высказал своё отношение к новым требованиям ФСТЭК Андрей Бирюков. — Мы в InfoWatch поддерживаем данные в актуальном состоянии, и когда в рамках сертификации лаборатория запросила файлы SBOM по нашему продукту, мы оперативно их предоставили и не испытывали затруднений по этому поводу.
»

Сложности, по словам эксперта, могут возникнуть только у разработчиков, которые по разным причинам не использует практики безопасной разработки и не владеют актуальным перечнем заимствованных компонентов и образов контейнеров, которые они используют в своем продукте. Похоже, что ведомство данными изменениям рассчитывает стимулировать российских разработчиков средств защиты внедрять передовые технологии безопасной разработки и контроля заимствованных компонент.

ФСТЭК будет отзывать сертификаты у ИБ-компаний, если найдет у них уязвимость

В ноябре 2025 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) России объявила об ужесточении регулирования для компаний, работающих в сфере информационной безопасности (ИБ). Новый подход предполагает отзыв сертификатов соответствия у вендоров в определенных случаях.

ТАСС, ссылаясь на слова директора по корпоративным продажам «Лаборатории Касперского» Марины Усовой, сообщает, что ФСТЭК будет аннулировать сертификат, если самостоятельно выявит недочет в системе безопасности до того, как о нем сообщит компания.

ФСТЭК наделена полномочиями аннулировать сертификаты компаний в сфере информационной безопасности в случае обнаружения уязвимостей в их продукции

По информации от представителей рынка ИБ, конкретные механизмы реализации данной инициативы пока не определены. В частности, неясно, какие последствия ждут государственные информсистемы, в которых используется ПО с утратившим силу сертификатом. Собеседник ТАСС отмечает: наличие уязвимости не всегда свидетельствует о возможности ее реального использования или о серьезном влиянии на общий уровень защищенности продукта.

Эксперты полагают, что для поставщиков, которые уже внедрили и эффективно используют разработку безопасного ПО, дополнительные стимулирующие меры не требуются. Такой процесс, регламентированный национальным стандартом ГОСТ 56939-2024, включает в себя постоянное выявление и минимизацию количества уязвимостей безопасности.

По данным ФСТЭК на февраль 2025 года, почти половина организаций в стране недостаточно защищены от киберугроз. В информационных системах 47% из 170 компаний, относящихся к КИИ, содержались критические уязвимости. Большая часть недостатков, обнаруженных в государственных системах, имела высокий или критический уровень опасности.

Как пишет CNews, власти планируют в 2026 году распространить часть нормативных требований, предъявляемых к владельцам важных объектов КИИ, на ИТ-подрядчиков, что усилит регулирование в этой сфере.[2]

2024: ФСТЭК упростила сертификацию систем киберзащиты

С 1 июня 2024 года в России вступил в силу новый порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством РФ.

В приказе ФСТЭК среди прочего определены перечень сведений, указываемых разработчика софта в заявке на сертификацию, порядок ее рассмотрения ведомством, процедура проведения сертификации, порядок оформления экспертного заключения о соответствии (несоответствии) реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке. Сертификат соответствия выдается на срок, указанный в заявке, но не более чем на пять лет.

С 1 июня 2024 года в России вступил в силу новый порядок проведения сертификации процессов безопасной разработки программного обеспечения

Как уточнил «Ведомостям» директор по развитию бизнеса Cloud.ru Михаил Лобоцкий, нововведения помогут сократить процесс сертификации. Прежде для нового продукта он занимал минимум год, для повторной сертификации каждого обновления нужно минимум полгода.

«
Этот процесс выглядит так: примерно год уходит на работу заявителя с испытательной лабораторией и органом по сертификации, после чего вместе с документами это передается во ФСТЭК. Суть изменений заключается в том, что ФСТЭК будет сертифицировать конвейер безопасной разработки продуктов компании. Т.е. имея на руках сертификат на процесс разработки, обновлять ранее сертифицированный софт будет в разы проще, дешевле и быстрее, – поясняет Лобоцкий.
»

Таким образом процесс пересертификации сократится до нескольких месяцев за счет отсутствия третьих организаций при проверках обновленного ПО, добавил он.

По словам директора по клиентской безопасности Selectel Дениса Полянского, ФСТЭК пересмотрел ГОСТ, который регламентирует процессы безопасной разработки, т. е. предотвращения возникновения уязвимостей в ходе создания решения.[3]

2022: Остановка действия сертификатов на ПО IBM, Microsoft, Oracle, SAP и VMware

Как стало известно в конце марта 2022 года, Федеральная служба по техническому и экспортному контролю (ФСТЭК) приостановила действие сертификатов на программное обеспечение IBM, Microsoft, Oracle, SAP, VMware и ряда других зарубежных производителей. Всего к 25 марта заморожено 56 сертификатов.

Как пишет «Коммерсантъ», ФСТЭК начала временно останавливать действие сертификатов на программные продукты тех иностранных компаний, которые объявили об уходе с российского рынка. Если ушедшие из РФ зарубежные компании не возобновят техподдержку своих продуктов в течение 90 дней со дня приостановки сертификатов, их действие будет прекращено, пояснил «Коммерсанту» руководитель отдела консалтинга и аудита информационной безопасности Step Logic Денис Пащенко.

ФСТЭК остановила действие сертификатов на ПО IBM, Microsoft, Oracle, SAP и VMware

Источник издания пояснил, что ФСТЭК запросила у зарубежных компаний пояснения относительно техподдержки уже работающих решений. По его мнению, клиентам, использующим подобное иностранное ПО, уже лучше начать поиск сертифицированных альтернатив и задумываться о необходимости перехода на них, включая переаттестацию своих систем информационной безопасности.

Несмотря на требования по использованию сертифицированного ПО, многие компании и банки пока продолжают работу на зарубежных продуктах, которым ФСТЭК приостановила лицензии, говорит руководитель направления информационной безопасности Itglobal.com Александр Зубриков.

По словам источника газеты на ИТ-рынке, к концу марта 2022 года регулятор не называет точные сроки, когда заказчики должны будут заменить несертифицированные продукты в своих ИТ-системах. Более того, в силу вступивших в силу послаблений в части проверок выявить факт использования несертифицированного решения регулятор может не скоро, допустил собеседник.[4]

2019: Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость

Федеральная служба по техническому и экономическому контролю (ФСТЭК) выдвинула новые требования к разработчикам программного обеспечения. По ним средства защиты информации должны быть испытаны на выявление уязвимостей и недекларированных возможностей («закладок», «бэкдоров») в соответствии с методикой, разработанной и утвержденной ФСТЭК в феврале 2019 г.

ФСТЭК ужесточила требования к разработчикам ИБ-продуктов

Вендоры к инициативе отнеслись прохладно[5]. Соответствие новым требованиям потребует от них дополнительных инвестиций и существенно снизит присутствие импортных ИБ-продуктов в госсекторе.

Однако эти аргументы несостоятельны, считает руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. По его словам, требования вступают в силу с 1 июня 2019 года, но многие серьезные вендоры изначально их выполняют при разработке ПО.

Какова исходная ситуация? Сертификация ФСТЭК – долгое и ресурсоемкое мероприятие. Но главная системная проблема была в том, что на экспертизу отправляется конкретная версия – состояние продукта на день получения заветного документа.

«
Завтра ты внес изменение, улучшил ПО, добавил функцию – и должен, по идее, проходить всю процедуру заново. Если ты хочешь всегда продавать сертифицированную версию, ты должен либо бесконечно крутиться в этой карусели, либо не выпускать обновления во время действия сертификата. В ИТ, все понимают, такое вообще не работает. В реальном мире нельзя использовать версию софта 3 года. Никто так и не делает. Получается, что подтверждение соответствия от ФСТЭК оказывается номинальным документом и не всегда является гарантией качества ПО, - поясняет Парфентьев.
»

После изменений сертификат ФСТЭК будет реально гарантировать безопасность продукта, т.к. ужесточаются требования именно к процессу разработки. Это значит, что продукт должен быть безопасным не только в моменте. Он требует, чтобы весь процесс был организован безопасно.

С сотрудниками должны быть подписаны все регламенты о порядке действий в случае обнаружения проблем, о порядке действий в случае обнаружения потенциальных уязвимостей, о порядке работы с заказчиками и в случае обнаружения уязвимостей ими. Должен проводиться статический, динамический анализ кода, использоваться софт для контроля версий, единые замкнутые среды компиляции и т.д. Новые требования предполагают, что вредоносный код будет невозможно внести на уровне процесса даже умышленно.

«
В общем, это логичные и понятные требования, - считает представитель «СёрчИнформ». - Другими словами, серьезные вендоры именно так и работают. Требования адекватны и выполнимы. Более того, странно слышать критику от разработчиков средств для защиты информации о том, что потребуются инвестиции. Какие могут быть дополнительные инвестиции, когда все изначально должно быть реализовано именно так?!
»

По мнению Алексея Парфентьева, вендоры выступают против, потому что им усложнили процедуру. Реализация требований – серьезная работа. Услуги по сертификации не бесплатные, напоминают они, и компании могут потратить деньги впустую, оказаться без сертификатов. С другой стороны – сертификат без причины отзывать никто не будет, это тоже нужно учитывать.

Многие компании, считает он, станут придерживаться более стандартизованного процесса разработки, перестанут необдуманно использовать сомнительные сторонние библиотеки, будут тщательней следить за безопасностью собственного кода. Новые требования дают ФСТЭКу как органу гораздо больше уважения со стороны сообщества. Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость, уверен Парфентьев.

«
Изменения по большей части касаются разработчиков ИБ-средств, создающих СЗИ. В остальном требования ФСТЭК проходят и другие продукты, например, базы данных, операционные системы, среды виртуализации и т.д. Просто к ним применяются более мягкие условия, т.к. непосредственно защитой они не занимаются, - пояснил TAdviser представитель «СёрчИнформ».
»

Примечания

  1. О внесении изменений в положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК от 3 апреля 2018 г. № 55
  2. Гайки закручиваются: Сертификаты ИБ-компаний власти хотят отзывать после обнаружения первой незаявленной уязвимости
  3. Разработчиков софта избавят от необходимости сертифицировать обновления
  4. Программное необеспечение
  5. Антивирусам обновят сертификат
Источник — «https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A1%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D0%A4%D0%A1%D0%A2%D0%AD%D0%9A»

Править
Read in English   |   Короткая ссылка   |  Просмотров: 28151
Объем мирового рынка электронных клинических решений за год достиг $12,23 млрд
Максим Максимов возглавил Минздрав Хакасии
В Симферополе построили новую поликлинику за 1,1 млрд рублей
Суд Архангельска приговорил кардиолога к ограничению свободы за смерть пациента с кардиостимулятором во время МРТ
Конференция TAdviser «IT Retail & Ecom Day 2026»
TAdviser приглашает на конференцию «Импортозамещение 2026: Реальный опыт»
X5 встал на путь ИИ-агентизации. Михаил Неверов, директор по развитию ИИ — о перспективных практиках, внедряемых в компании
Импортозамещение 2.0: как low-code и no-code меняют рынок ИТ-услуг
Модус: когда CRM перестает быть системой и становится платформой для развития бизнеса
TAdviser выпустил Карту «Российские производители телеком-оборудования»
Автоматизированные риск-системы для банков: все потребности риск-подразделения в одной платформе
TAdviser выпустил новую Карту российского рынка информационной безопасности: 290 разработчиков и поставщиков услуг
Конференция TAdviser "IT Security & NGFW Day" состоится 25 марта
МТС Exolve создал для бизнеса роботов нового поколения
«Базис» сертифицировал платформы Digital Energy и Virtual Security по требованиям ФСТЭК
Карта сценариев использования ИИ в CRM — исследование BPMSoft
Больше чем просто импортозамещение: 7 историй о том, как российское «железо» меняет науку и бизнес
Дмитрий Ткачев, CURATOR: Наша задача — не отбить DDoS-атаку, а обеспечить бесперебойность бизнеса
UC-платформа eXpress: новые возможности для задач бизнеса
Как меняется рынок тестирования ПО в России. Максим Ковтун, IBS — о трендах, особенностях спроса и влиянии ИИ
CISO Faberlic Вадим Смирнов — о приоритетах и планах развития кибербезопасности
Конференция TAdviser «ИТ в промышленности 2026»
Крупнейшие аутсорсеры поддержки решений SAP в России. Рейтинг TAdviser
Защита от DDoS-атак за 15 минут: обзор CURATOR.ANTIDDOS
Антон Юдин, Скала^р (Группа Rubytech): Применение ПАК — оптимальный подход для перехода к Индустрии 4.0
Николай Гузаков, EcoRouter: Российское телеком-оборудование вышло на критические участки инфраструктуры
Бессмертный полк онлайн 2025: как была разработана платформа цифрового шествия к 80-летию Победы
Топ-3 инструмента для быстрого и безопасного взаимодействия с клиентами
Сергей Коледа, «КРЕДО-ДИАЛОГ»: Инженерная отрасль очень восприимчива к инновациям и при этом очень осторожна
Цифровизация коммуникаций в химической отрасли: как в ФосАгро совершенствуют рабочее взаимодействие сотрудников
Отраслевые ПАК — драйвер технологического суверенитета и устойчивого развития российской ИТ‑системы через локализацию решений
Импортозамещение ПО в России: ключевые поставщики, крупные проекты, оценки и перспективы. Обзор TAdviser
Как крупнейший банк из топ-3 построил расчетный центр на YDB СУБД Яндекса
WMS: От хаоса к контролю. Почему система управления складом — это не «волшебная палочка», а инструмент исполнения логистики
Consid.WCS — это интеллектуальный контроллер автоматизированного склада
Александр Воробьев, СЭД ТЕЗИС: ИИ-ассистент открывает новые горизонты автоматизации
Алексей Козлов, ГК Softline: Гибридные и мультиоблачные стратегии с нами надолго
Сергей Симоненко, ОТП Банк: Мы сократили time-to-market в 4 раза, полностью изменив подход к разработке и тестированию
Дмитрий Ивицкий, IBS: Объем использования SAP в России будет постепенно снижаться, но никак не до нуля
Как снизить процент брака за счет цифровизации обсудили на TAdviser SummIT в сессии "ИТ в промышленности"
Регистрация на конференцию "СЭД И ECM DAY 2026" 25 февраля
Российский рынок информационной безопасности: оценки, тренды, перспективы. Обзор TAdviser
Конференция "ИТ-приоритеты 2026" 11 февраля. Идет регистрация
Сессия «Информационная безопасность» TAdviser SummIT: разбираем стресс на байты и защищаемся от кибергруппировок
Российский рынок цифровизации HoReCa: оценки и технологии. Обзор TAdviser
Как развивается рынок Open Source в России. Обзор TAdviser