В Федеральной службе по техническому и экспортному контролю (ФСТЭК) утверждены новые требования к программному обеспечению. Они касаются кибербезопасности и устанавливают сроки до конца года, в рамках которых разработчикам нужно провести испытания по выявлению уязвимостей и недекларированных возможностей в ПО. Это делается в рамках защитных мер и импортозамещения. Однако, по мнению специалистов, такая проверка потребует значительных затрат и сократит количество иностранного ПО в российском госсекторе.
«Под раздачу» попадёт целый перечень программ, включая антивирусы, межсетевые экраны, антиспам-системы, защитный софт и ряд операционных систем. Сами же требования вступят в силу с 1 июня 2019 года.
«Услуги по сертификации ФСТЭК не бесплатны, а сам процесс довольно длительный. В результате уже установленные в компаниях или госорганах СЗИ в какой-то момент могут оказаться без действующих сертификатов», — заявили в одной из компаний по разработке ПО.
А главный конструктор Astra Linux Юрий Соснин заявил, что на подобные инициативы придётся раскошелиться. Хотя это и позволит убрать с рынка недобросовестных участников.
«Реализация новых требований — достаточно серьезная работа: анализ, разработка продукта, его непрерывное сопровождение и устранение недостатков», — отметил специалист.
В свою очередь директор по технологиям компании «Инфосекьюрити» Никита Пинчук отметил, что это правила будут сложны для отечественных производители, но для иностранных это будет ещё боле серьёзной проблемой.
«Одно из ключевых требований проверки недекларируемых возможностей — передача исходного кода решений с описанием каждой функции и механизма работы. Крупные разработчики исходный код решения никогда не предоставят, так как это конфиденциальная информация, составляющая коммерческую тайну», — пояснил он.
Источник: 3dnews.ru