29 Ноября 2007 15:11 29 Ноя 2007 15:11 |

Поделиться

Защитное ПО в России: секретно ли секретное?

страницы:   предыдущая   |   1    |   2  

Например, Олег Тютюкин, менеджер по продажам для государственного и транспортного секторов Symantec, считает, что "использование сертифицированного ПО является одной из составляющих частей комплекса мероприятий по обеспечению защиты и сохранности соответствующей информации. Одной из, но не основной. Наряду с мерами организационного, процедурного и иного характера, которые зачастую гораздо более действенны в обеспечении защиты информации".

Более резко высказывается по этому вопросу Андрей Албитов, глава представительства ESET в России. Он, во-первых, категорически считает, что проблема использования несертифицированного ПО в госорганах является выдуманной, а также указывает, что "безопасность - это комплексный подход, и она больше зависит от организации работы с важной информацией, нежели от наличия сертификатов". Сертификация же, по мнению Албитова, относится к протекционистским мерам, призванным защитить российского производителя.

Кондаков же с участником рынка категорически не согласен и считает, что, говоря об использовании тех или иных продуктов в государственных учреждениях, речь идет именно о сертифицированных продуктах, а не о продуктах российского или нероссийского происхождения: "В России, как и в других странах мира, производятся разные продукты: менее качественные, более качественные… Их сертификация как раз и является гарантией того, что продукт, защищающий информацию государства, может надежно обеспечивать ее безопасность".

Если же говорить об адекватном отношении к сертификации, то здесь речь идет о том, чтобы правильно и своевременно разделять случаи, когда сертификация действительно необходима и обязательна, и случаи, где она не является таковой. Константин Архипов, директор Panda Security в России, отмечает, что существуют даже две проблемы: не только отсутствие несертифицированного ПО там, где это требуется, но и его наличие там, где в нем нет надобности. Последнее, по мнению Архипова, ведет к осознанному сужению выбора и лишению себя выбора, возможности воспользоваться, возможно, гораздо более подходящим продуктом, с более соответствующим функционалом, высокой надежностью, привлекательной ценой, но без нужного сертификата.

Сегодняшнюю ситуацию, сложившуюся вокруг использования сертифицированных средств защиты информации в госоргнанах эксперты оценивают по-разному. Борис Шаров, отметив, что "Доктор Веб" целенаправленно информацию по этому поводу не собирает, заявил, что компания сталкивается с некоторыми случаями использования зарубежных несертифицированных антивирусных средств в нашей стране: "Более того, мы видим, что иногда государственные организации перестают закупать сертифицированные программные средства, предпочитая им зарубежные и несертифицированные".

Юрий Нахаев, руководитель аналитического отдела компании Aladdin, напротив, считает, что в госорганах применяются практически только сертифицированные средства защиты информации, а общесистемное и прикладное ПО – практически только несертифицированное, и что сейчас наблюдается рост процента использования сертифицированного ПО: "Во многих тендерах не только государственных, но и крупных коммерческих организаций, сегодня прямо указывается об использовании в проектах только сертифицированных программных продуктов". Интересно и примечательно, что в данном случае мы наблюдаем тенденцию к реальному пониманию пользы сертификации даже и коммерческими организациями, а не только "слепого" следования букве закона госорганизациями (а порой даже и "не-следования").

Если же говорить о статистических показателях, то Нахаев, например, говорит о соотношении сертифицированного и несертифицированного ПО примерно 20% на 80%, отмечая, что аппаратная платформа в ряде случаев не позволяет "подтянуть" инфраструктуру до требуемого уровня (когда использование сертифицированных средств обосновано, в том числе технологически).

Что говорят в госорганах

Как же относятся к проблеме представители самих госорганов? Владимир Скиба, начальник отдела информационной безопасности Федеральной Таможенной службы, рассказал, что в интересах таможенных органов операционные системы, а также программное обеспечение защиты информации, в частности, антивирусное ПО сейчас закупаются только с сертификатами по требованиям безопасности. На основании Статей 13 и 14 Федерального закона от 27 июля 2007 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" Единая автоматизированная информационная система (далее – ЕАИС) таможенных органов является государственной информационной системой (федеральной информационной системой), созданной в целях реализации полномочий таможенных органов и обеспечения обмена информацией между ними.

При этом "технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании", а "информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами".

В то же время, процентное соотношение сертифицированного и не сертифицированного ПО в государственных структурах, по его оценкам, составляет порядка 20% и 80% для операционных систем, а для систем управления базами данных и специализированного программного обеспечения на уровне не более 5%: "Немного лучше обстоит дело с программным обеспечением средств защиты информации. Здесь доля сертифицированного программного обеспечения более 50%".

Прогнозы на будущее

Говоря о дальнейшем развитии ситуации вокруг использования несертифицированного ПО в госорганах, эксперты сходятся во мнении, что в ближайшее время кардинальных изменений не произойдет, однако не исключают усиления контроля за исполнением соответствующих нормативных актов. Константин Архипов считает, что в законодательной базе для данной сферы в ближайшее время не произойдет каких-то принципиальных изменений, а вот контроль за соблюдением закона, возможно, будет расти. О необходимости усиления контроля говорит и Юрий Нахаев, считающий, что если помимо принятия законов и директив государство озаботится вопросом контроля их исполнения, тогда мы станем свидетелями ситуации, когда доля сертифицированного ПО будет перевешивать долю несертифицированных софтверных продуктов.

Алексей Лукацкий категорически заявляет, что в госорганах как использовалось, так и будет использоваться несертифицированное ПО, поясняя, что "у госорганов нет выбора - они вынуждены использовать несертифицированное ПО. Когда руководитель госоргана встает перед выбором - выполнять поставленные государством и правительством задачи или ждать несколько месяцев получения заветного сертификата, выбор очевиден, и он не в пользу сертификации". Впрочем, Гарри Кондаков считает, что если с продуктом и документацией все в порядке, то процедура займет максимум месяц: "А вот если ничего не работает, то можно и всю жизнь получать. Стоимость может быть разной в зависимости от объема работ, мы, например, платили максимальную сумму по самому строгому регламенту , и она составила порядка 200 000 руб.".

В чем причины?

И все же, в чем причины того, что производители и госорганы не сертифицируют и/или покупают несертифицированное ПО? По мнению экспертов, одной из причин оказывается элементарная некомпетентность представителей государственных структур, ответственных за закупки ПО в организацию.

Если же говорить о производителях, то причин нежелания проводить сертификацию может быть много - опасения, связанные с возможными бюрократическими проволочками, и соответственно нежелание тратить на процедуру время и деньги. Не стоит сбрасывать со счетов и такой вариант, что отсутствие сертификата может объясняться действительным несоответствием продуктов сертификационным стандартам, в частности, по причине недекларированных возможностей, представляющих собой реальную угрозу информационным ресурсам и системам.

Многие участники рынка считают такую ситуацию недопустимой – например, "Лаборатория Касперского": "Сказать откровенно, мне непонятна позиция тех из них, кто вместо следования нормативным актам страны объявляют сертификацию средством конкурентной борьбы, нерыночным методом. На мой взгляд, подобный подход, по меньшей мере, неуважение к законам государства, в котором производитель развивает свой бизнес. К слову, "Лаборатория Касперского", приходя на рынки других стран, всегда действует легитимно, сертифицируя продукты там, где это требует", негодует Кондаков.

Весьма серьезно относятся к сертификации и другие отечественные компании. Так, Юрий Нахаев отметил, что "ЗАО "Аладдин Р.Д." уделяет много внимания сертификации СЗИ собственной разработки, так в настоящее время производятся сертифицированные средства защиты информации (электронные ключи eToken, продукты линейки Secret Disk, в настоящее время завершается сертификация системы контентной фильтрации eSafe для очистки почтового и интернет-трафика от вредоносного кода и спама)". Таким образом, говорит Нахаев, указанные сертифицированные продукты активно приобретаются и внедряются в свои системы госорганами.

Вернемся к ситуации, сложившейся вокруг тендера на поставку антивирусного решения в ФНС. Ситуация широкого обсуждалась в СМИ, и желающие без труда смогут найти связанные с ней подробности. Нас же сейчас интересует деталь, непосредственно связанная с темой материала. Так, центр информационной безопасности ФСБ вынес заключение (его копия имеется в распоряжении CNews – прим. ред.), что использование ПО, разработанного компанией ESET, в государственных органах является нецелесообразным по той причине, что оно не обладает соответствующим сертификатом. .

Андрей Албитов, глава представительства ESET в России, так прокомментировал обвинения в адрес продуктов компании: "Антивирусное программное обеспечение компании ESET обладает сертификатом ФСТЭК РФ, который подтверждает возможность использования данного ПО на предприятиях, обязанных применять только сертифицированные программные продукты". Но в конкурсе на поставку антивирусных средств для нужд Федеральной налоговой службы России от антивирусного ПО не требовалось наличия указанных сертификатов, поэтому ни о каком нарушении закона, в любом случае, речь идти в принципе не может, подчеркивает представитель ESET.

В "Лаборатории Касперского" же придерживаются иного мнения. Гарри Кондаков возражает Андрею Албитову: "Странно, что руководителю российского ESET неизвестно о существовании 102-й статьи Налогового Кодекса РФ. Там черным по белому написано, что есть налоговая тайна, которая является информацией ограниченного доступа, т.е. конфиденциальной. В пункте же 3 статьи 80 Налогового Кодекса также прямо предусмотрено, что налоговые органы работают со сведениями, составляющими государственную тайну. Порядок установлен статьей 16 Закона "О Гостайне". Кроме того, с трудом верится, что г-ну Албитову неизвестно о наличии в продуктах компании ESET несертифицированных средств криптографии, которые, по российскому законодательству, нельзя поставлять в органы государственной власти".

Что же касается сертификата ФСТЭК РФ, которым обладает  продукция ESET, говорит Кондаков, то хотелось бы расставить все точки над i. Данный сертификат достаточен для продажи физическим лицам и коммерческим организациям. Очевидно, что ФНС РФ попадает под иную категорию, категорию органов государственной власти, что предполагает поставку средств защиты  информации минимум четвертого уровня контроля. Таких сертификатов у продуктов ESET нет. Специалистам  это очевидно, однако людей не сведущих наличие сертификата ФСТЭК и подобная подмена понятий, которую,  не стесняясь, демонстрируют  руководители ESET,  может ввести в заблуждение.

В ФНС и ФСБ на момент публикации материала не смогли предоставить комментарии.

Дмитрий Антиномов / CNews

страницы:   предыдущая   |   1    |   2  

Поделиться

Подписаться на новости Короткая ссылка