На прошлой неделе вышла «ошеломляющая» новость о том, что западным компаниям поставили на вид за то, что они дают доступ к исходным кодам по запросам ФСБ России и ФСТЭК России. При этом забыли еще одного регулятора − Министерство обороны России. Уклон перепечатанной с западной прессы информации был в сторону того, что, дескать, проверка на отсутствие недекларированных возможностей. В основном все указанные в статье производители программных продуктов со встроенными средствами защиты и программных/программно-аппаратных средств защиты проходят сертификацию во ФСТЭК России, по уже не новым требованиям. Это Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который утвержден решением №114 от 4 июня 1999 г. председателя Государственной технической комиссии при Президенте Российской Федерации.
Отметим, что сам документ устанавливает классификацию программного обеспечения (как отечественного, так и импортного производства) средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение, по уровню контроля отсутствия в нем недекларированных возможностей, без охвата программного обеспечения средств криптографической защиты информации.
Отметим, что согласно Приказу ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» для обеспечения первого и второго уровней защищенности персональных данных, а также для обеспечения третьего уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы второго типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей. То есть надо. С учетом новых требований к межсетевым экранам и необходимости проходить проверку на НДВ рынок уже полгода бурлит.
И если уж разбираться серьезно, то именно заказчик информационной системы (владелец) и требует с интегратора, а тот уже с производителя средств защиты информации и программного продукта с встроенными средствами защиты необходимый сертификат. Отмечу − заказчик. И чтобы начать процесс сертификации, ФСТЭК России должен дать положительный ответ, согласовать выбранную испытательную лабораторию и назначить орган по сертификации.
Сам процесс прозрачен. В западных компаниях он одинаков (в основном), независимо от страны, заказчики средств защиты которой хотят проверить код. Применение полного контроля и «чистой» комнаты практически исключает «незаконное скачивание-копирование» исходного кода, что и является наиболее болезненной проблемой.
