ФСТЭК введет обязательное раскрытие компонентов с открытым кодом и контейнеров при сертификации СЗИ
Федеральная служба по техническому и экспортному контролю (ФСТЭК) России планирует ужесточить требования к сертификации средств защиты информации (СЗИ), сообщает TAdviser, ссылаясь на проект приказа с названием «О внесении изменений в положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК от 3 апреля 2018 г. № 55».
Основным нововведением станет обязанность заявителей предоставлять при сертификации полный перечень заимствованных программных компонентов с открытым исходным кодом (open-source) и образов контейнеров, используемых в продукте. Это потребует от испытательных лабораторий оценивать безопасность не только основного кода, но и всех сторонних элементов.
Согласно проекту, разработчики должны будут поддерживать эти перечни в актуальном состоянии и обновлять их в течение пяти дней при любых изменениях. Дополнительно уточняются требования к комплектности материалов для испытаний и порядок внесения изменений в уже сертифицированные средства.
Как отмечается в материале, подобная практика анализа сторонних компонентов неофициально применялась лабораториями и ранее, но теперь предоставление полных данных становится формальным обязательством на этапе подачи заявки.
Общественное обсуждение проекта продлится до 9 января 2026 года.
