Разделы

ПО Безопасность ИТ в госсекторе

Минкомсвязи пустило в Реестр российского ПО софт без лицензий ФСТЭК

Экспертному сообществу удалось убедить Минкомсвязи в том, что отсутствие лицензии ФСТЭК не является поводом не включать программный продукт в Реестр российского софта. Определение «отечественности» ПО и его лицензирование, необходимое для использования в госорганах, признаны независимыми друг от друга задачами.

Письмо Минкомсвязи

Минкомсвязи распространило среди государственных и муниципальных заказчиков письмо от 15 марта 2016 г. за подписью главы ведомства Николая Никифорова с разъяснениями о применении Реестра российского ПО в части соблюдения требований по защите информации. Текст документа приводит ассоциация разработчиков программных продуктов «Отечественный софт».

Министерство обращает внимание респондентов на необходимость самостоятельного принятия решений об установлении требований по защите информации, содержащейся в их информационных системах, в том числе, при выборе из Реестра общесистемного, прикладного, специального ПО, ИТ, а также средств защиты информации. Эти решения госзаказчики должны принимать, ориентируясь на соответствующие требования Федеральной службы по техническому и экспортному контролю (ФСТЭК), федеральный закон «Об информации, ИТ и о защите информации» и постановление Правительства о защите персональных данных.

Что это означает

Суть сообщения Минкомсвязи разъяснила CNews президент группы компаний InfoWatch Наталья Касперская. Она отмечает, что среди критериев попадания в Реестр есть подпункт, который гласит, что если программа относится к средствам защиты информации, то на нее обязательно нужна лицензия ФСТЭК.

«Однако на определенном этапе стало понятно, что этот подпункт избыточен, ведь госкомпании в любом случае обязаны получать лицензию ФСТЭК на использование систем защиты информации, — говорит Касперская. — Получается, что по этому подпункту экспертный совет должен запрашивать данные о лицензиях у компаний-разработчиков, а компании должны эти данные собрать и предоставить. Если лицензий у них нет, то их программные продукты не попадают в реестр, и таким образом мы, по сути, ограничиваем свободную конкуренцию. Но для попадания в реестр важно соблюдение критериев “отечественности”, а не наличие лицензий внутренних контролирующих органов».

Минкомсвязи разъяснило госзаказчикам аспекты применения Реестра российского ПО в части соблюдения требований по защите информации 

По словам Касперской данное противоречие и привело к тому, что у АРПП «Отечественный софт» появилось предложение разделить зоны ответственности: экспертный совет должен заниматься формированием реестра, а ФСТЭК — выдавать лицензии. «Это две разные задачи, и я считаю данное предложение абсолютно правильным», — заключает топ-менеджер.

Дополнения экспертов

Исполнительный директор ассоциации разработчиков программных продуктов «Отечественный софт» Евгения Василенко добавляет к этому, что быть законодательно закрепленным ориентиром для госзаказчиков (которым лицензии ФСТЭК могут потребоваться) — это хоть и важнейшая, но не единственная задача Реестра. В будущем на Реестр сможет опираться государство, например, при оказании поддержки отечественным разработкам, причем в тех сферах, где использование этих решений не будет сопряжено с регулированием со стороны ФСТЭК.

«Сертификация не имеет прямого отношения к определению происхождения софта. Она занимает значительное время и требует существенных затрат, — говорит Василенко. — Эти факторы не должны затруднять работу экспертного совета и процедуру формирования Реестра».

Избыточность обязательных требований по сертификации на конкретном примере поясняет эксперт по информационной безопасности компании «Аладдин Р. Д.» Сергей Котов. «Если в программном продукте реализована функция доступа по паролю для разных ролей пользователя, скажем, для главного бухгалтера и счетовода (функция разграничения доступа), требуется ли для такого ПО сертификат ФСТЭК на средство защиты от несанкционированного доступа? — задается он вопросом. — Ответ простой: если продукт является средством защиты информации и применяется в органах госвласти, то требуется. Если функция другая, например, бухгалтерский учет, то нет, хотя, при желании, можно попытаться получить».

По убеждения Котова, во втором случае эффект от сертификата вряд ли можно считать сопоставимым с теми трудозатратами на корректную реализацию функции, которые позволят этот сертификат получить.

«И никаких противоречий с требованиями регуляторов в документе Минкомсвязи нет — обычное разъяснение для тех госорганов, которые “не в теме”, а больше, как мне кажется, попытка подстелить соломку на поролоновые маты — экологично…», — завершает свою мысль Котов.

В данном случае его мнение разделяет и генеральный директор компании «Код безопасности» Андрей Голов. «Никифоров просто подчеркивает, что каждый в своей области должен соблюдать требования министерства и регулятора, и эти требования не противоречат друг другу, — говорит он. — Так что ничего нового не происходит».

В Минкомсвязи ситуацию с рассылкой письма госзаказчикам комментировать CNews не смогли.

Облегченная миграция с Oracle: как осуществить переход на новую СУБД быстрей и проще
Импортозамещение

Денис Воейков