«Чистка кадров» и «затягивание гаек»: ФСТЭК ужесточает лицензирование для разработки СЗКИ

Федеральная служба по техническому и экспортному контролю России вынесла на общественное обсуждение проект поправок к постановлению правительства № 171 о лицензировании. Документ касается условий выдачи лицензий на деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ). Проект был размещен на Федеральном портале проектов нормативных правовых актов 10 апреля.

Предложения ФСТЭК подразумевают еще большие ограничения для иностранного участия в процессе лицензирования, ужесточение требований в части необходимого штата инженеров и введение обязательного соблюдения ГОСТ Р 56939-2024 на процессы разработки.

Обязательный ГОСТ на процессы разработки и производства

Действующее постановление № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» утверждает, что при разработке и производстве СЗКИ лицензированию подлежат и разработка, и производство СЗКИ — это касается технических средств защиты информации, защищенных программных и программно-технических СЗИ и прочего.

Согласно требованиям, если в качестве лицензирующего органа выступает ФСТЭК, требования для соискателя включают наличие систем производственного контроля. Этот пункт расширяется — теперь производителям будут также нужны системы, включающие правила и процедуры оценки качества, в которых реализованы процессы безопасной разработки ПО, «соответствующие требованиям национального стандарта Российской Федерации ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»».

Как обратил внимание GR-специалист «СёрчИнформ» Дмитрий Вощуков в комментарии SecPost, подготовка к сертификации безопасной разработки требует затрат времени и ресурсов. Административная нагрузка на ИБ-вендоров обещает соответствующе вырасти — разработчикам, зачастую с нуля, придется составить и утвердить большой объем внутренних документов.

«Необходимо регламентировать процессы управления конфигурацией, устранения недостатков, отработку запросов заказчиков, все виды тестирования ПО, сформировать описание архитектуры ПО, разработать модель угроз и реализовать многие другие организационно-технические задачи в соответствии с ГОСТ Р 56939-2024», — отмечает Вощуков.

При этом придется еще подождать самой сертификации, отмечает эксперт. Уполномоченных организаций немного, и их ресурсы ограничены — очереди к ним расписаны на месяцы вперед. В случае если требования ГОСТ в какой-либо части не будут выполнены, подавать документы, ждать своей очереди и оплачивать услуги сертифицирующего органа придется еще раз, подчеркивает Вощуков.

«Поэтому с принятием изменений в Положение о лицензировании вырастет спрос на услуги специализированных компаний, которые оказывают услуги по составлению необходимых документов и подготовке к сертификации», — полагает GR-специалист «СёрчИнформ».

Ведущий инженер-аналитик аналитического центра кибербезопасности компании «Газинформсервис» Максим Федосенко называет требования в части ГОСТа «принуждением к полному переходу вендоров на процессы безопасной разработки». После принятия поправок для каждого кода в компоненте СКЗИ будет полагаться жесткая регуляция, а компании-вендоры обязаны будут организовать свою работу согласно ГОСТ Р 56939-2024.

«На практике же это означает жесткий уход от использования бесконтрольных обновлений и интеграций с привычным и удобным open-source: самопроизвольные патчи и несертифицированные программные модули теперь станут запрещёнными «пережитками прошлого», а вся работа по отладке СКЗИ должна будет протекать строго под контролем владельца инфраструктуры и регуляторов», — поясняет инженер-аналитик.

Эксперты также обращают внимание на ту часть проекта поправок, которая вводит обязанность разработчиков СЗКИ использовать российские средства защиты информации. Большинство вендоров, как отмечает Вощуков, не сможет закрыть это требование только решениями собственной разработки — придется докупать у других компаний.

Увеличение штата ИБ-инженеров

Согласно действующим сейчас требованиям, компании, рассчитывающие на получение лицензии, должны иметь как минимум 2 инженерно-технических работника с высшим образованием в области ИБ. Требования сохраняются и расширяются: по новым правкам будет необходимо не менее 5 сотрудников, соответствующих требованиям. Также за ними закрепляется требование о прохождении «обучения по программам профессиональной переподготовки, согласованным ФСТЭК, по одной из специальностей в области информационной безопасности».

Как обращает внимание Вощуков из «СёрчИнформ», разработчики и тестировщики даже у ИБ-вендоров часто не имеют квалификации специалистов по защите информации.

«Изменения в Положение дополнительно повысят востребованность опытных работников с ИБ-образованием и, следовательно, их уровень оплаты труда в уже сложившихся условиях нехватки квалифицированных специалистов», — отмечает GR-специалист.

Федосенко из «Газинформсервиса» считает, что положения проекта говорят о «предстоящей «чистке кадров» и «затягивании гаек» для специалистов, работающих с СКЗИ». Раньше для получения лицензии вендорам нужно было иметь всего двух технических специалистов широкого профиля, но теперь их нужно минимум пять.

«Причем у каждого из них должна быть профильная квалификация — высшее образование по ИБ или официальная переподготовка по утвержденным от ФСТЭК направлениям при опыте работы 3–5 лет по профилю», — отмечает Федосенко.

Из проекта поправок, как отмечает инженер-аналитик «Газинформсервиса», также следует запрет на совместительство. Это значит, что теперь специалисты будут обязаны работать с защитой и СКЗИ на положении основной полной занятости.

«Как итог, это обозначает резкое повышение кадрового барьера, которое впоследствии приведет к тому, что небольшие компании без штатных экспертов с большим опытом в ИБ вряд ли смогут получить лицензию и вероятнее всего будут вынуждены уйти с рынка разработки СКЗИ», — отмечает эксперт.

Запрет для компаний с иностранными руководителями

Из постановления № 171 следовало, что к лицензированию не допускаются иностранные юридические лица. Новыми правками предусмотрено расширение в этой части:

«Не допускается осуществление деятельности, указанной в абзаце первом настоящего пункта, иностранными юридическими лицами, юридическими лицами, руководители которых имеют гражданство иностранного государства, индивидуальными предпринимателями, имеющими гражданство иностранного государства», — следует из поправок.

Как поясняет Федосенко из «Газинформсервиса», после принятия постановления лицензию на работу с отечественными СЗКИ не получит ни одно ИП с иностранным гражданством, ни одна российская компания с иностранным владельцем или директором. Формальный адрес регистрации компании становится не важен: все будет решать фактический контроль и полная принадлежность разработчика к России.

«Таким образом, внедрение через постановление 171 жесткого режима «свои/чужие» говорит о продолжении общей политики технологического суверенитета, а участие «иностранцев» в процессе разработки СКЗИ для отечественных нужд регулятор теперь приравнивает к риску национальной безопасности, что в свою очередь сильно скажется на возможности использования экспертизы иностранных специалистов при разработке высокозащищенных СКЗИ на основе международного опыта и сотрудничества», — отмечает эксперт.

Как поправки могут повлиять на ИБ-рынок

Нововведения станут для вендоров СЗКИ серьезным испытанием на прочность их экспертизы в области безопасной разработки и уровня соответствия их специалистов требованиям регулятора, считает Федосенко. Инженер-аналитик отмечает, что это одновременно говорит о том, что рынок ИБ-услуг в России взрослеет и сепарируется от повсеместного использования импортных и готовых open-source решений. С другой стороны, рынок будет вынужден «ужаться» и «поредеть», поскольку в результате нововведений небольшие игроки рынка СКЗИ могут оказаться полностью выжатыми из процесса.

«Однако в случае необходимости обеспечения полной независимости и автономности процесса разработки и сопровождения отечественных СЗИ данные изменения являются хоть болезненным, но необходимым этапом «взросления» отечественной отрасли ИБ», — считает Федосенко.

По мнению Вощукова из «СёрчИнформ», изменения в положение о лицензировании вписываются в актуальные тренды ИБ-регулирования. Тенденции к внедрению модели конструктивной ИБ (более известной как «Secured by design») при создании и использовании СЗИ и ИТ-средств, предотвращению риска инцидентов у подрядчиков заметны и в других актах, например, в ГОСТ об ИИ в КИИ, в 117-м приказе ФСТЭК, отмечает эксперт.

Резюмируя потенциальные поправки к постановлению № 171, Вощуков отмечает, что их реализация потребует от разработчиков дополнительных финансовых затрат.

«Поэтому после введения новых требований можно ждать дополнительного увеличения отпускных цен на ИБ-средства и сокращения затрат вендоров на создание новых и расширение функциональности имеющихся продуктов», — резюмирует эксперт.

Ранее ФСТЭК вынесла на общественное обсуждение поправки к приказам № 235 и № 239, которые ужесточают требования к технической поддержке средств защиты информации на объектах КИИ. Вендоры фактически лишатся возможности подключаться к системам заказчиков через AnyDesk, получать дампы телеметрии или устанавливать «тихие» обновления без жесткого контроля со стороны субъекта КИИ, прогнозировали эксперты в материале для SecPost.