Поделиться
Сертификация ИБ-продуктов: что будет после 1 июля?
Вступление в силу закона "О персональных данных" подстегивает спрос на ИБ-средства, прошедшие государственную сертификацию. Сегодня на российском рынке далеко не все вендоры предлагают подобные решения. О том, какие выгоды приносит сертификация и в чем собственно она заключается, CNews рассказали специалисты российского представительства компании Trend Micro.С 1 июля этого года вступает в силу так долго откладывавшийся федеральный закон №152 – "О персональных данных". Одно из его требований - операторы обязаны постоянно контролировать обеспечение соответствующего уровня защищенности персональных данных. Как следствие, отныне все предпочтут пользоваться только теми средствами ИБ, которые прошли сертификацию в российских компетентных органах: ФСТЭК и ФСБ. Добавим, что зоны ответственности этих двух ведомств разграничены, и многочисленные слухи о все возрастающей роли чекистов и, в частности, о том, что теперь любой антивирус должен проходит проверку у ФСБ, сильно преувеличены. Это учреждение, как и раньше, отвечает только за то, что имеет непосредственное отношение к гостайне, а также за средства криптографии. Все остальные средства ИБ - это компетенция ФСТЭК России.
Буква закона
Будем объективны: к указанному сроку, как и полгода назад, подавляющее большинство операторов готовы не будут. Ведь с персональными данными работает огромное количество предприятий – от коммерческих компаний до госучреждений и общественных организаций. Средства, опыт и понимание того, как нужно обращаться со ставшей отныне конфиденциальной информацией, есть далеко не у всех. Но тем не менее бизнес, будучи более мобильным и обеспеченным, давно озаботился вопросом приведения своих операций в соответствие с законом.
Еще один важный момент: сам по себе федеральный закон №152 требования использовать только сертифицированную ИБ-продукцию не содержит. Оно встречается только в сопроводительных документах. Как результат - существует расхожее мнение о том, что сертификация не нужна. Но в то же время сегодня редкий специалист по безопасности рискнет поставить несертифицированный продукт. Причина проста. Когда бизнес использует официально протестированное государством средство, тем самым он разделяет свою возможную ответственность за потенциальные инциденты при работе с персональными данными.
"Стало очевидно, что в корпоративном сегменте дальнейшее присутствие вендора, который занимается информационной безопасностью, без сертифицированной линейки продуктов просто невозможно, - поделился наблюдениями Вениамин Левцов, глава российского представительства компании Trend Micro в России и СНГ. – Я бы отметил знаковую вещь: в настоящий момент лишь единицы компаний и экспертов рассматривают в качестве варианта установку на своих сетях несертифицированных средств защиты информации. И все предыдущие месяцы наши партнеры не раз задавали нам вопрос: когда будет получен сертификат ФСТЭК".
Первый из большой тройки
Сегодня на российском рынке продукты ИБ с государственной сертификацией представляют 5 вендоров: "Лаборатория Касперского", Doctor Web, Symantec, ESET и Trend Micro. И, как утверждают представители Trend Micro, их компания первой из "большой тройки" поставщиков антивирусов (Symantec, McAfee, Trend Micro) осуществила сертификацию пакета продуктов ИБ по модели серийного производства.
Специалисты Trend Micro рассказали о том, как проходил и в чем заключался процесс сертификации пакета антивирусных программ "Trend Micro Enterprise Security 10.0". В ходе сертификации оцениваются два параметра – соответствие техническим условиям (ТУ) и отсутствие недекларированных возможностей (НДВ). Последнее, говоря более простым языком, – проверка, нет ли в антивирусе потайных закладок, которые могут по команде недружественной стороны сработать нежелательным для пользователя образом. Разумеется, сертификацию проводит не сам ФСТЭК, а уполномоченные им специализированные организации, обладающие лицензиями ФСТЭК на осуществление деятельности соответствующего рода. В случае с Trend Micro такой компанией стало "НПО "Эшелон".
Михаил Егоров, директор департамента проектов "НПО "Эшелон":
Ответственность за нарушение законодательных и нормативных требований по обработке и защите персональных данных устанавливается следующими актами:
- УК РФ – статьи 137 и 171;
- КОАП – статьи 13.11 – 13.14;
- Трудовой кодекс РФ – статьи 81 и 90.
Наиболее распространенными являются административные правонарушения, связанные с нарушением операторами персональных данных порядка сбора, хранения, использования или распространения, обработки, а также правил защиты персональных данных. Указанные нарушения влекут наложение административного штрафа, конфискацию несертифицированных средств защиты информации, а в случае грубого нарушения - приостановление административной деятельности на срок до девяноста суток.
Процесс сертификации продукции Trend Micro начался еще в марте 2010 года и закончился только спустя год – в мае 2011 года. Согласно экспертному заключению испытательной лаборатории "НПО "Эшелон", пакет продуктов Trend Micro может быть использован при построении автоматизированных систем класса защищенности до 1Г включительно и, что особенно важно для российских заказчиков, подходит для построения информационных систем персональных данных (ИСПДн) до 1 класса включительно.
Как отметил Вениамин Левцов, существует два типа сертификации: можно сертифицировать только ограниченную серию или же серийное производство продукта. "У некоторых наших западных конкурентов есть сертификаты на ограниченные партии. Но те ИБ-вендоры, которые активно представлены на российском рынке, конечно же озаботились получением сертификатов на серийное производство. И мы тоже пошли по этому пути. Мы понимаем, что этот путь более долгий, но он имеет определенные преимущества. В течение срока действия сертификации мы можем производить любое количество эталонных дистрибутивов на целый пакет программных продуктов", - сказал глава российского представительства.
Особенности национальной сертификации
Серьезная сложность, с которой столкнулись российские сотрудники вендора, заключалась в том, чтобы убедить иностранную штаб-квартиру в необходимости сертификации. Собственно, подобные процедуры есть во многих странах, однако столь жесткой, как в России, нет практически нигде. Например, в США сертификация может проводиться без участия государства, силами специализированных компаний. В Германии тоже есть подобная процедура, но она не подразумевает проверку исходного кода: достаточно только оценить функциональность продукта и ее соответствие заявленным ТУ. "Когда мы начинали проект, приходилось общаться с коллегами со всего мира – из США, Тайваня и т.д. И их сильно удивляло то, что в ходе российской сертификации необходимо было, помимо проверки исходного кода, также собирать модули, собирать из модулей продукт и тоже их проверять. Этого никто никогда не делал", - вспоминает Михаил Сорокин, технический менеджер Trend Micro, руководитель проекта сертификации.
Продукт Trend Micro Enterprise Security 10.0 защищает широкий спектр узлов компьютерной сети предприятия, включая:
конечные точки (OfficeScan 10.0),
файловые серверы (ServerProtect for Microsoft Windows/Novell NetWare 5.8 Win),
электронная почта (InterScan Messaging Security Virtual Appliance 7.0, ScanMail for Lotus Domino 5.0 Win, ScanMail for Microsoft Exchange 10.0),
интернет-шлюзы (InterScan Web Security Virtual Appliance 5.0),
физические и виртуализированные серверы ЦОД (Deep Security 7.0),
централизованное управление (Control Manager 5.0 (Advanced)).
Надо отметить, что процесс сертификации обошелся Trend Micro недешево, но это должно помочь компании сохранить прежние темпы роста в России и обеспечить выход на сегмент госпредприятий. "Прошлый год мы закончили с ростом 12%, что достаточно неплохо и в целом соответствует динамике корпоративного рынка антивирусной защиты, на котором мы, преимущественно, представлены в России, - отметил Вениамин Левцов. – Мы потратили достаточно много сил на осуществление сертификации, что является лишним подтверждением того, что Trend Micro пришла в Россию всерьез и надолго и готова инвестировать во все необходимые аспекты для продвижения на нашем рынке".
Поделиться
Короткая ссылка
