Разделы

Безопасность Госрегулирование Стратегия безопасности

Сертификация антивирусных решений: правда и мифы

Сертификация антивирусных продуктов по-прежнему остается предметом горячих споров. Ясно одно: производитель, желающий поставлять свои решения в органы государственной власти, должен сертифицировать свою продукцию. Вокруг сертификации в ИТ-сообществе до сих пор существует множество заблуждений. Однако на поверку большая их часть оказывается простыми мифами.

В последнее время в специализированных СМИ появилось множество материалов, посвященных обязательной государственной сертификации антивирусных решений. Причем различные эксперты порой придерживаются прямо противоположных точек зрения: кто-то горячо защищает сертификацию, считая ее панацеей от всех бед. А кто-то, наоборот, приводит различные доводы в пользу того, что эта процедура не несет в себе ничего полезного.

К сожалению, и те и другие демонстрируют довольно слабое владение данной тематикой, а их выводы часто бывают ошибочными. Из-за этого в ИТ-сообществе циркулирует множество мифов и легенд о сертификации, которые вводят в заблуждение не только рядовых пользователей антивирусных решений, но и экспертов в области ИБ, а также некоторых разработчиков защитных решений. Для того чтобы прояснить ситуацию, хотелось бы коснуться самых распространенных мифов о сертификации.

Миф первый: Сертификация не обязательна - это добровольная процедура

Это не так, а точнее не совсем так. Все зависит от того, где планируется использовать антивирусное решение, и что оно будет защищать. Если объект защиты это домашний компьютер, то, естественно, сертификация не требуется. Но если данный антивирусный продукт планируется выставить для участия в тендере на поставку в орган государственной власти, то он обязан иметь необходимые сертификаты.

Это прописано в таких документах, как Указы Президента РФ от 12 мая 2004г. №611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» и от 17 марта 2008г. №351 «О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена».

Эти Указы являются частью практического воплощения «Доктрины информационной безопасности РФ». Там, в разделе, касающемся защитных решений, использующихся в госучреждениях, прямо говорится о том, что данные решения должны обладать сертификатами, которые выдаются органами ФСТЭК и ФСБ РФ.

Продукты, не прошедшие соответствующей процедуры, не могут поставляться в госструктуры Российской Федерации. Соответственно, обсуждать вопрос о том, нужна сертификация или нет, занятие абсолютно бесполезное, так как те случаи, в которых она необходима, прописаны в законодательстве РФ. Как говорится, «dura lex, sed lex» - «закон суров, но это закон».

Миф второй: Все виды сертификации одинаковы

Сознательно или нет, но многие считают, что понятия добровольной и обязательной сертификации тождественны. А раз так, то, имея на руках документ, подтверждающий прохождение добровольной сертификации, с ним можно смело идти на тендер. Но это не так!

Во время добровольной сертификации антивирусный продукт проверяется на соответствие тем требованиям, которые заявил сам производитель. Например, что его программа выполняет определенные действия с определенной скоростью. Если испытания подтверждают правильность этих утверждений, то вендор получает соответствующую бумагу.

Но этот документ не имеет ничего общего с тем, который выдается после прохождения обязательной государственной сертификации, все требования и положения которой определяются законодательством. Наличие подобного сертификата подтверждает, что в рассмотренном продукте нет недокументированных функций. И в том числе, так называемых, «черных ходов», которые впоследствии позволят злоумышленникам получить несанкционированный доступ к информации на защищаемом ПК или совершить иные злонамеренные действия. Именно такой сертификат, гарантирующий безопасность антивируса, и требуется для участия в государственных тендерах.

Миф третий: Сертификация доступна только крупным компаниям

В различных публикациях можно встретить мнение, что сертификация придумана исключительно для того, чтобы вытеснить с рынка как можно больше производителей антивирусного ПО. После чего на рынке должны остаться только крупнейшие компании, которые собственно и пролоббировали принятие вышеупомянутых законов.

Много написано и о том, что сертификация стоит огромных денег, тянется долгое время, а процедура связана с множеством трудностей, преодолеть которые может только компания, обладающая огромными ресурсами. Но ни в одной такой статье нельзя встретить ни конкретных сумм, ни конкретных сроков!

На самом деле, все не так страшно, как пытаются доказать некоторые «эксперты». Цена и сроки сертификации зависят, прежде всего, от размера и сложности приложения, а если рассматривать конкретно антивирус, то обычно речь идет о нескольких месяцах, и редко когда процедура затягивается на полгода.

Максим Чудновский, «СберТех»: Внедрение корпоративной сервисной шины данных позволило сократить время вывода продукта в 10 раз
Бизнес

Точную цену можно назвать, только тщательно изучив документацию на программу. Но с уверенностью можно утверждать, что ее может заплатить даже компания средних размеров. Если же говорить о сложности прохождения сертификации, то тут многое зависит от самого вендора. Если он заинтересован в сертификате и готов работать над своей программой, то никаких серьезных проблем нет и быть не может.

Миф четвертый: После обновления антивирусных баз сертификат перестанет быть действительным

Данную идею, в основном, активно используют в качестве решающего аргумента в споре противники сертификации. Чем это объясняется – элементарным незнанием предмета или предумышленным искажением фактов – неизвестно. Справедливости ради нужно сказать, что для того, чтобы разобраться в данном вопросе, нужны довольно серьезные технические знания, которыми могут не обладать люди, делающие подобные заявления.

Конечно, такой вывод (недействительность сертификата после обновления баз, а, следовательно, и изменения контрольной суммы) является напрашивающимся. Но, в тоже время, исключительно поверхностным. Утверждающий это отталкивается оттого, что после проведения сертификации для антивируса фиксируется его контрольная сумма, по которой впоследствии проверяется, не вносились ли изменения в программный код.

Топ-7 внедрений российского ПО. Рейтинг CNews Analytics
CNEWS ANALYTICS

Но обновление антивирусных баз не имеет в данном случае никакого отношения к сертификату и никак не может служить основанием для признания его недействительным. Конечно же, не обновлять базы – это нонсенс, и такой продукт не сможет обеспечить полноценную защиту ПК. Это прекрасно понимали и разработчики процедуры сертификации, поэтому в процессе проверки антивирусного решения оценивается его ядро и различные механизмы, которые ни коим образом не изменяются во время обновления баз и других подобных процедур.

Кроме того, ни один вендор не имеет антивирусных баз, составленных из сигнатур, созданных исключительно им. Все производители обмениваются записями между собой, поэтому попытка сертификации баз похожа на подачу в патентное бюро заявки на абсолютно чужое изобретение.

Миф пятый: Сертификация - это бесполезная формальность

С этим утверждением очень сложно согласиться. Ведь во время процедуры сертификации программный код продукта проверяют специалисты очень высокого класса, которые указывают разработчику на те участки, которые могут быть уязвимы с точки зрения безопасности. Выявляются и другие ошибки или подозрительные элементы, без устранения которых сертификат не будет выдан.

Кстати, выводы лаборатории проверяются еще одной организацией, абсолютно независимой от той, что проводила тестирование. То есть, разработчик получает дополнительную проверку своего ПО.

Если рассматривать выгоду потенциального покупателя сертифицированного продукта, то она очевидна. Он приобретает продукт, который неоднократно проверен независимыми специалистами как на наличие «закладок» и «черных ходов», так и просто на наличие ошибок. Все это положительно сказывается на стабильности работы антивирусного решения. В итоге, все наиболее распространенные утверждения противников сертификации ошибочны по сути, а их распространению способствует либо незнание и непонимание предмета, либо преднамеренно искажение фактов.

Но, как бы там ни было, необходимость сертификации антивирусных продуктов, которые поставляются в госструктуры, определена законом. А попытки поставить в госорган продукт без соответствующего сертификата или выдать добровольный сертификат за обязательный, может привести к административной (ст.12.13 КоАП) и уголовной (ст. 274 УК РФ) ответственности.

Сергей Никитин