Разбираемся в сертификации ПО

Спрос рождает предложение. И сертифицированное программное обеспечение тут не исключение: оборот этой отрасли достигает сотни миллионов долларов в год. Но для многих не очевиден ответ на вопрос, кому и в каких ситуациях оно требуется. И главный вопрос – нужно ли сертифицировать программное обеспечение в конкретном случае? Разберемся.

Какой-то простой алгоритм или определитель составить трудно. Многое зависит от того, что именно защищается. Если данные, то что это за данные, кому они принадлежат, какой из аспектов безопасности (целостность, доступность, конфиденциальность) должен быть обеспечен? Есть ли обязательное требование, в каком нормативном правовом акте оно зафиксировано? Предусмотрены ли альтернативы? Контролируется ли исполнение и какие есть санкции за нарушение? Интересно отметить, что требования всплывают в нормативах разного уровня: в федеральных законах, постановлениях правительства, приказах конкретных регуляторов. Поэтому нужно рассматривать отдельные случаи, они же сферы применения, они же сценарии.

Что касается безопасности данных, то, во-первых, сертифицированное ПО требуется для защиты государственной тайны. Это отдельная тема, подробно разбирать ее не будем. Просто запомним, что это требование зафиксировано в Федеральном Законе от 21.07.1993 N 5485-1 «О государственной тайне». Причем это обязательное требование, альтернатив не предусмотрено, а санкции за нарушение серьезные, вплоть до уголовной ответственности.

Остальные виды данных – это информация ограниченного распространения, не относящаяся к государственной тайне. И тут уже важно, что это за информация, где она обрабатывается. Например, персональные данные. Меры по их защите в информационных системах персональных данных перечислены в федеральном законе, требования к этим мерам – в постановлении правительства, содержание мер – в приказах отдельных регуляторов. В том числе в 21-м приказе ФСТЭК, в котором и есть требование использовать средства защиты, прошедшие оценку соответствия, а по факту нужны именно сертифицированные. Реестр сертифицированного ПО доступен на официальном сайте ФСТЭК. В остальных случаях нужно смотреть, где именно обрабатываются данные. Это государственные информационные системы – о них еще расскажем подробнее. Есть новые и сравнительно редкие области применения: национальная платежная система, единая биометрическая система, медицинские информационные системы.

Наконец, сертифицированные средства защиты (в том числе программные) могут применяться для защиты не только данных в информационных системах, но и других объектов – например, автоматизированных систем управления или вычислительных сетей. Это значимые объекты критической информационной инфраструктуры и автоматизированные системы управления производственными и технологическими процессами.

Чаще всего мы сталкиваемся с требованиями сертифицировать программное обеспечение и другие средства защиты в нормативных правовых документах (например, приказах ФСТЭК). Конечно, всегда можно поспорить, оправдано ли то или иное требование, но закон есть закон, и ему нужно следовать.

Но требования могут быть зафиксированы в стандартах, на которые уже в свою очередь ссылаются нормативные правовые акты. Самый известный пример – это ГОСТы Р 57580, которые пришли на смену стандартам СТО БР ИББС. В основе таких стандартов – лучшие практики. Тот самый случай, о котором говорят, что «инструкции написаны кровью». И самый простой способов следовать этим практикам – выполнять требования стандартов.

Иногда использовать сертифицированное ПО необходимо по внутренним нормативам, правилам, политикам организации. В этом случае ответственности по закону нет, а есть только дисциплинарная ответственность. Если устав организации это допускает, то такие требования легитимны, и сотрудник сам решает, как нужно поступать в таких случаях. Иногда эти требования вписаны «на всякий случай», а иногда за ними стоит нормативный правовой акт, под который подпадает организация. Просто иногда бывает проще и удобнее сформулировать это требование во внутреннем документе, не вдаваясь в детали. То есть требования нормативных правовых актов транслируются в требования внутренних документов.

Похожая ситуация с требованиями к поставщикам, подрядчикам и к средствам защиты, которые они поставляют или используют. Разумеется, это коммерческие организации, приказать им ничего нельзя, но тут они сами решают, оправдывает ли выгода от сотрудничества дополнительные расходы и усилия. В результате тот, кто разбирается в вопросе, получил необходимые лицензии, а его продукт входит в перечень сертифицированного ПО, имеет конкурентное преимущество.

Не всегда сертифицированное ПО – единственный способ выполнить требования закона. Иногда прямо (в тексте документа) или косвенно (методом анализа и сопоставления нормативных правовых актов) перечислены альтернативы. Например, это другие способы оценки соответствия. Или компенсирующие меры. Наконец, можно ничего не делать, если применение сертифицированных средств защиты только рекомендуется. Но нужно рассматривать ситуацию в комплексе: выбрав более простую альтернативу, на следующем шаге можно всё равно упереться в необходимость сертифицированного ПО, и тогда получится, что усилия будут затрачены впустую.

Статистика компании СИС показывает, что лидирует по популярности сценарий с государственными информационными системами. Это и неудивительно, потому что есть подробные нормативные правовые акты, которые не допускают разного толкования. Есть понятные регламенты контроля с планом проверок. Есть ответственность, и есть устоявшаяся практика привлечения к ней. Есть предложение, поставщики, реестр сертифицированного ПО и других решений.

На втором месте значимые объекты критической информационной инфраструктуры. Тоже понятно: область широкая, много кто в нее попадает. Хотя тут нет большого опыта использования, нормативные правовые акты регулярно выходят, дорабатываются. И самое главное: учащаются случаи привлечения к ответственности, набирается практика, статистика. То есть некоторая неопределенность не снижает интереса к этой теме.

В сфере защиты персональных данных главное – широта: с ними работают все, и хотя есть вопросы к тому, как реализован контроль, эта тема тоже актуальна. К остальным сценариям интерес пока невелик: сказывается и то, что есть альтернативы, и то, что для многих они пока в новинку. Но это вопрос времени, нужно следить за тем, как всё развивается. Можно ожидать, что требования либо не выдержат проверки и уйдут, либо закрепятся, обрастут деталями. Вот, например, критическая информационная инфраструктура: как мы уже отмечали, тема обширная. Первоначально в нормативных правовых актах было много неопределенностей, и у пользователей было много вопросов. Но регуляторы не смутились и продолжили вносить уточнения там, где были проблемы.

Организации нужно принять принципиальное решение, будет ли она в принципе применять сертифицированное ПО, работает ли с ним. Если этот порог уже преодолен, то самое сложное позади, и для остальных сценариев имеет смысл применять тоже сертифицированные средства защиты.

Поэтому нужно проанализировать все сценарии и решить, относится ли к вам хотя бы один из них, безальтернативно требующий применять сертифицированное ПО. После этого нужно принять план перехода на него. Расставьте приоритеты, в том числе между другими инициативами по ИБ, оцените необходимые ресурсы и риски. Узнайте, что делают похожие компании, насколько «горячая» эта сфера. Для этого можно изучить тендерные требования, предложения партнеров, вакансии. После этого зафиксируйте привила во внутренних документах и примите порядок их пересмотра.

Разбираемся в сертификации
Установка и эксплуатация