Власти решили не наказывать разработчиков софта за устаревший сертификат
Федеральная служба по техническому и экспортному контролю (ФСТЭК) решила не наказывать разработчиков средств защиты информации, которые не успели обновить сертификаты на свои разработки до 1 января 2020 года. Служба продлила срок исполнения этих требований еще на полгода из-за низкого уровня их реализации, заявил начальник управления ФСТЭК России Дмитрий Шевцов, выступая на форуме «Технологии безопасности» (видеозапись его выступления размещена на YouTube).
«У нас есть 148 действующих сертификатов соответствия на серийное производство средств защиты информации от несанкционированного доступа. Все они должны быть приведены в соответствие с новыми требованиями доверия, но на сегодняшний день есть только 16 переоформленных сертификатов», — заявил Шевцов.
Сертификат на средства защиты информации требуется для продажи программного обеспечения и оборудования в госорганы и отдельные госкомпании. С 1 июня 2019 года ФСТЭК поменяла правила получения подобных сертификатов, ужесточив требования к разработчикам и производителям. В частности, новые требования предусматривают полный доступ к исходному коду продукта для проверки на наличие недекларированных возможностей (так называемые закладки, или скрытые функции, которые, например, приводят к нарушению конфиденциальности). До 1 января участники рынка должны были обновить свои сертификаты соответствия, чтобы ФСТЭК не приостановила их действие. Об этом служба предупреждала участников рынка еще в марте 2019 года.
В сентябре несколько участников рынка рассказывали РБК, что ряд ИТ-компаний может не успеть обновить сертификаты. В частности, разработчики указывали на то, что на переоформление сертификатов требуется больше времени, чем срок, отведенный ФСТЭК. Кроме того, ФСТЭК не дала четких разъяснений о том, как проводить оценку, поэтому найти специальную лабораторию, которая проверит продукт разработчика, было сложно.
Как пояснил Дмитрий Шевцов во время выступления, ФСТЭК рассчитывает, что до июня все разработчики успеют выполнить новые требования. По его словам, после этого срока действие всех непереоформленных сертификатов будет приостановлено и у разработчиков останется три месяца на подачу декларации соответствия, иначе сертификат будет отозван окончательно.