Сертификация без иллюзий: как подготовиться к требованиям ФСТЭК России

Сегодня все больше российских ИТ-компаний задумываются о сертификации своих решений, стремясь соответствовать требованиям регуляторов. Но путь к заветному сертификату ФСТЭК оказывается куда сложнее, чем кажется на первый взгляд. Почему эта процедура не формальность, какие ошибки совершают компании на старте и как выстроить процесс без потери темпов разработки, — объясняет Максим Фокин, директор департамента сертификации и безопасной разработки «Инферит ОС» (кластер «СФ Тех» ГК Softline).

Сейчас многие компании задумываются о сертификации собственных ИТ-решений. С какими основными вызовами они сталкиваются на старте?

Основным барьером для большинства компаний, впервые сталкивающихся с сертификацией СЗИ, становится фундаментальное непонимание самого процесса. Распространено ошибочное мнение, будто сертификация — это формальность: оплатил взнос, эксперты поверхностно проверили работоспособность ПО — и сертификат готов.

В действительности сертификация в ФСТЭК России представляет собой сложную систему, регламентированную множеством руководящих документов и методических указаний. Первым шагом для компании обычно становится поиск компетентного специалиста, который, как ожидает руководство, единолично закроет все вопросы. Однако не все так просто: подобные задачи не решаются в одиночку. Любой эксперт подтвердит, что для соответствия требованиям ФСТЭК России в области разработки безопасного ПО, архивного хранения, производства и поддержки необходимо построить или перестроить целый ряд процессов и нанять дополнительных сотрудников.

Итак, компания нанимает специалистов, получает необходимые лицензии, выстраивает процессы, — на все это может уйти несколько лет. Параллельно с этим для программного продукта готовится большой пакет технической документации, в которой продукт описывается на самом низком уровне, затрагивающем взаимодействие функций, описание программных интерфейсов и прочие архитектурные особенности будущего СЗИ.

Лишь после такой масштабной подготовительной работы начинается непосредственная процедура сертификации: подача заявки, получение Решения, взаимодействие с испытательной лабораторией и органом по сертификации. В ходе испытаний, которые сами по себе могут длиться годами, выявляются различные уязвимости, несоответствия ПО разработанной документации или требованиям регулятора — их устранение и последующие доработки еще больше увеличивают и без того значительные сроки всего процесса.

Насколько изменились требования ФСТЭК России к сертификации за последние годы, и как это отражается на рынке?

За последние пять лет требования ФСТЭК России к сертификации средств защиты информации претерпели значительные изменения. Их ужесточение, введение новых методических, руководящих документов и другие корректировки хотя и привели к увеличению сроков подготовки, но в итоге способствовали существенному росту качества и безопасности СЗИ. Это, в свою очередь, положительно сказывается на общем уровне защищенности объектов российской информационной инфраструктуры.

Есть ли у вас ощущение, что сертификация стала более востребованным инструментом конкурентной борьбы на российском рынке ПО?

Да, эта тенденция заметна. Покупатели средств защиты информации все чаще ориентируются на сертификат ФСТЭК России, даже когда его наличие не является обязательным по закону. Для рынка такой сертификат становится маркером качества, надежности и безопасности продукта.

Расскажите о своем опыте прохождения сертификации. Что стало наиболее сложным этапом — подготовка документации, тестирование, устранение уязвимостей?

Мой опыт в области сертификации, включающий работу как в испытательных лабораториях, так и на стороне заявителя, позволяет заблаговременно выстраивать процессы в соответствии с требованиями регуляторов. Это сводит к минимуму количество замечаний на этапе испытаний.

Наибольшую сложность, однако, представляет этап реализации мер по разработке безопасного программного обеспечения. Объясняется это тремя вещами. Во-первых, требуется кардинально перестроить устоявшиеся процессы разработки. Во-вторых, внедрить комплексную систему контроля качества и безопасности. И, наконец, разработать исчерпывающий пакет организационно-распорядительной документации.

Приоритетной задачей при этом является обеспечение бесперебойности производственного цикла и непрерывного выпуска обновлений. Одновременно с этим необходимо создать эффективный механизм для повышения качества и безопасности продукта. 

В ИТ-вендоре «Инферит» мы наладили систему, которая соответствует требованиям сертификации и позволяет постоянно выявлять и устранять уязвимости в продуктах без замедления бизнес-процессов. Недавно это отметили и наши коллеги из испытательной лаборатории «Эксперт по безопасности», когда мы получали сертификат ФСТЭК для операционной системы «МСВСфера» 9. Они высоко оценили уровень экспертизы и подготовки «Инферит» к процедуре, вручив нам благодарственное письмо.

С чего стоит начинать компаниям, которые только планируют пройти сертификацию ФСТЭК?

Компаниям, планирующим сертификацию СЗИ в ФСТЭК России, советую выстраивать процесс в соответствии со следующей последовательностью:

1. Убедитесь в наличии всех необходимых для деятельности лицензий ФСТЭК России.

2. Назначьте ответственного руководителя и обеспечьте его всеми необходимыми ресурсами. Его задача — создать рабочую группу путем найма внутренних специалистов или аутсорсинга.

3. Под руководством назначенного специалиста следует одновременно проводить следующие работы:

• внедрение практик разработки безопасного программного обеспечения;
• разработку полного комплекта документации, требуемой для сертификации.

4. За несколько месяцев до завершения внутренних работ выберете надежную испытательную лабораторию и подайте в ФСТЭК России заявку на сертификацию. Это позволит к моменту готовности продукта и документов получить Решение регулятора и оперативно начать работу с испытательной лабораторией и органом по сертификации.

5. Дальнейшие сроки получения сертификата соответствия напрямую зависят от компетенции команды и качества подготовленных материалов.

Как правильно выстраивать взаимодействие с регулятором, чтобы ускорить процесс?

Однозначного ответа здесь нет, так как многое зависит от конкретной ситуации и регулятора. Однако можно сформулировать несколько ключевых принципов: проактивная и доброжелательная коммуникация, безусловное следование утвержденным правилам и регламентам, а также конструктивный диалог, где вы оспариваете позицию регулятора только при наличии веских аргументов и обоснований.

Многие компании на момент решения начать готовиться к сертификации не имеют для этого внутренней экспертизы. Как вы считаете, стоит ли в таком случае искать помощи у коллег по цеху? К кому можно обратиться, чтобы пройти этот путь эффективнее?

Обратиться за помощью не просто стоит — это стратегически верное решение, которое сэкономит компании время, ресурсы и нервы. Пытаться самостоятельно пройти этот путь без экспертизы — все равно что строить дом без проекта.

Идея нанять штатных экспертов привлекательна, но сталкивается с суровой реальностью: таких специалистов крайне мало, и их содержание обходится очень дорого.

Поэтому для большинства компаний наиболее эффективным решением становится партнерство с профессиональным подрядчиком. Это позволяет, во-первых, быстро получить результат, не тратя месяцы на поиск и адаптацию сотрудников. Во-вторых, сконцентрироваться на главном: ваша команда продолжает заниматься разработкой, не отвлекаясь на сложные формальные процедуры. В-третьих, гарантировать успех, доверив работу тем, кто уже десятки раз проходил этот путь.

На рынке уже сформировался такой пул подрядчиков, специализирующихся на сертификации СЗИ и сопровождении компаний на всех этапах — от подготовки документации до получения сертификата соответствия.

Если говорить о рынке, насколько сертификат влияет на доверие клиентов и готовность переходить на отечественное ПО?

Сертификат напрямую влияет на доверие клиентов, так как является независимым подтверждением безопасности и надежности продукта. Когда продукт технически зрелый, наличие сертификата помогает снять все дополнительные сомнения, связанные с риском перехода, и делает выбор в пользу отечественного ПО более обоснованным.

Очевидно, что регуляторы тоже ориентируются на рынок, обновляя свои требования к ПО. В каких направлениях, на ваш взгляд, будет усиливаться регуляторика — защита персональных данных, КИИ, госсектор?

Учитывая текущие геополитические реалии и рост числа кибератак, ключевым направлением для усиления регуляторики станет защита значимых объектов критической информационной инфраструктуры. Именно на эту сферу, на мой взгляд, следует обратить первоочередное внимание.