Федеральная служба
по техническому и экспортному контролю
ФСТЭК России

Компания

Государственные и социальные структуры
С 2004 года
Россия
Центральный ФО РФ
Москва
105175, ул. Старая Басманная, д. 17

(499) 261-16-34
(495) 696-49-04 (факс)
http://www.fstec.ru/

Федеральная службапо техническому и экспортному контролюФСТЭК России
ИТ-ПАСПОРТ (3) СМ. ТАКЖЕ (72)
26.05.20Национальная программа Цифровая экономика Российской Федерации
20.05.20Критическая инфраструктура России
07.05.20Организационные вопросы удаленной работы
23.04.20Как ИТ помогают российским регионам изолировать людей и переживать пандемию
21.04.20Информационная безопасность в банках
13.04.20Облачные сервисы (рынок России)
09.04.20Основные тренды в сфере защиты банковских платежей
01.04.20Работы Ростелекома по развитию государственных ИТ-систем
25.03.20Политика ЦБ в сфере защиты информации (кибербезопасности)
20.03.20Автономный интернет в России
16.03.20Цифровая экосистема государства
27.02.20Закон О безопасности критической информационной инфраструктуры Российской Федерации
17.02.20Багхантеры (Bughunter) Bug bounty Поиск уязвимостей
30.01.20Электронное правительство России
24.01.20Информационные технологии в Пенсионном фонде РФ
24.01.20СЭД (рынок России)
26.12.19Импортозамещение программного обеспечения в госсекторе
23.12.19Гособлако Государственная единая облачная платформа (ГЕОП)
19.12.19ИТ в здравоохранении РФ
18.12.19Реестр отечественного программного обеспечения
13.12.19Информатизация регионов (рынок России)
28.11.19Закон о персональных данных №152-ФЗ
15.11.19Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
20.09.19Требования к защите информации в государственных информсистемах
27.08.19Информационные технологии в Федеральной службе судебных приставов (ФССП)
15.08.19Безопасность Windows
19.07.19Информационная безопасность (рынок России)
13.05.19Какие ИТ-решения заместить проще, а какие сложнее. Мнения
30.04.19Интервью TAdviser: замруководителя ФБ МСЭ Олег Симаков – о проблемах и перспективах ИТ в госсекторе
25.04.19Крупные проекты импортозамещения ПО

<< < 1 2 3 > >>

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.

История

2020: ФСТЭК порекомендовал госорганам перевести свои системы с Windows 7 на более новые версии

22 января 2020 года TAdviser стало известно, что ФСТЭК опубликовал специальное информационное сообщение по поводу прекращения поддержки операционной системы Windows 7; государственным органам и другим организациям, которые на январь 2020 года продолжают использовать эту систему, рекомендовано перейти на более последние версии Windows до первого июня 2020 года. Подробнее здесь.

2019

Публикация действующего варианта требований к защите информации в государственных информсистемах

17 сентября 2019 года стало известно, что Федеральная служба по техническому и экспортному контролю опубликовала изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Подробнее здесь.

Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость

Федеральная служба по техническому и экономическому контролю (ФСТЭК) выдвинула новые требования к разработчикам программного обеспечения. По ним средства защиты информации должны быть испытаны на выявление уязвимостей и недекларированных возможностей («закладок», «бэкдоров») в соответствии с методикой, разработанной и утвержденной ФСТЭК в феврале 2019 г.

ФСТЭК ужесточила требования к разработчикам ИБ-продуктов

Вендоры к инициативе отнеслись прохладно[1]. Соответствие новым требованиям потребует от них дополнительных инвестиций и существенно снизит присутствие импортных ИБ-продуктов в госсекторе.

Однако эти аргументы несостоятельны, считает руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. По его словам, требования вступают в силу с 1 июня 2019 года, но многие серьезные вендоры изначально их выполняют при разработке ПО.

Какова исходная ситуация? Сертификация ФСТЭК – долгое и ресурсоемкое мероприятие. Но главная системная проблема была в том, что на экспертизу отправляется конкретная версия – состояние продукта на день получения заветного документа.

«
Завтра ты внес изменение, улучшил ПО, добавил функцию – и должен, по идее, проходить всю процедуру заново. Если ты хочешь всегда продавать сертифицированную версию, ты должен либо бесконечно крутиться в этой карусели, либо не выпускать обновления во время действия сертификата. В ИТ, все понимают, такое вообще не работает. В реальном мире нельзя использовать версию софта 3 года. Никто так и не делает. Получается, что подтверждение соответствия от ФСТЭК оказывается номинальным документом и не всегда является гарантией качества ПО, - поясняет Парфентьев.
»

После изменений сертификат ФСТЭК будет реально гарантировать безопасность продукта, т.к. ужесточаются требования именно к процессу разработки. Это значит, что продукт должен быть безопасным не только в моменте. Он требует, чтобы весь процесс был организован безопасно.

С сотрудниками должны быть подписаны все регламенты о порядке действий в случае обнаружения проблем, о порядке действий в случае обнаружения потенциальных уязвимостей, о порядке работы с заказчиками и в случае обнаружения уязвимостей ими. Должен проводиться статический, динамический анализ кода, использоваться софт для контроля версий, единые замкнутые среды компиляции и т.д. Новые требования предполагают, что вредоносный код будет невозможно внести на уровне процесса даже умышленно.

«
В общем, это логичные и понятные требования, - считает представитель «СёрчИнформ». - Другими словами, серьезные вендоры именно так и работают. Требования адекватны и выполнимы. Более того, странно слышать критику от разработчиков средств для защиты информации о том, что потребуются инвестиции. Какие могут быть дополнительные инвестиции, когда все изначально должно быть реализовано именно так?!
»

По мнению Алексея Парфентьева, вендоры выступают против, потому что им усложнили процедуру. Реализация требований – серьезная работа. Услуги по сертификации не бесплатные, напоминают они, и компании могут потратить деньги впустую, оказаться без сертификатов. С другой стороны – сертификат без причины отзывать никто не будет, это тоже нужно учитывать.

Многие компании, считает он, станут придерживаться более стандартизованного процесса разработки, перестанут необдуманно использовать сомнительные сторонние библиотеки, будут тщательней следить за безопасностью собственного кода. Новые требования дают ФСТЭКу как органу гораздо больше уважения со стороны сообщества. Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость, уверен Парфентьев.

«
Изменения по большей части касаются разработчиков ИБ-средств, создающих СЗИ. В остальном требования ФСТЭК проходят и другие продукты, например, базы данных, операционные системы, среды виртуализации и т.д. Просто к ним применяются более мягкие условия, т.к. непосредственно защитой они не занимаются, - пояснил TAdviser представитель «СёрчИнформ».
»

Примечания