Сертификаты зрелости: как меняется роль ФСТЭК в регулировании ИБ-рынка

На что распространяются сертификаты и лицензии ФСТЭК

Полномочия ФСТЭК обширны, но в случае с ИБ особенно существенны два ключевых направления: лицензирование деятельности по технической защите конфиденциальной информации и сертификация самих средств защиты — как программных, так и аппаратных.

Системы компании, которая хочет хранить персональные данные, должны пройти аттестацию ФСТЭК. Важный нюанс: обязательная аттестация требуется для систем, на которых хранится информация выше четвертого уровня секретности. Это означает, что данные серьезнее, чем ФИО и дата рождения (например, биометрия), должны храниться только на таких проверенных системах.

С программным обеспечением история сложнее. Сертификации подлежат системы управления базами данных и документооборота, ОС, антивирусы и межсетевые экраны. В целом сертификат необходим для любых средств защиты, которые работают с:

• объектами КИИ;
• гостайной и конфиденциальной информацией;
• государственными информационными системами;
• персональными данными;
• автоматизированными системами управления производством (АСУ ТП).

При этом, когда дело касается сертификации, компания, которая запрашивает одобрение регулятора, должна обратиться в испытательные лаборатории и органы по сертификации. ФСТЭК ведет отдельные реестры этих организаций. Реестр аккредитованных ФСТЭК органов по сертификации расположен тут, а испытательных лабораторий — здесь. 

«Система сертификации выстраивалась годами и все работает в штатном режиме, нет необходимости обращаться во ФСТЭК России напрямую», — поясняет руководитель направления сертифицированных продуктов в «МойОфис» Алексей Полетаев.

Наиболее значимое требование для операторов систем заключается в необходимости оперативно реагировать на выявленные уязвимости. На это у оператора есть не более 24 часов, если речь идет о критическом уровне опасности, и 7 дней — на уязвимости высокого уровня опасности. Эксперт в целом отмечает, что за последние пять лет произошло немало изменений «в мире, в том числе и у ФСТЭК». Но к ужесточению правил кибербезопасности в «Мой Офис» были готовы.

Представитель «МойОфис» поясняет: их команда безопасной разработки включает 41 специалиста с ИБ-образованием, отношения с непосредственными разработчиками продукции доверительны. То есть для крупных компаний такой алгоритм работы с регулятором уже стал нормой.

Но строгость норм и сложность процедур одобрения могут выступать в качестве фильтра для участников рынка госзаказа. Крупные вендоры давно интегрировали сертификацию в свои бизнес-процессы, но для малого и среднего бизнеса (МСБ) она нередко становится барьером. На проблему обращали внимание участники рынка.

«Сертифицированные решения — это, безусловно, важно для госсектора и объектов КИИ, но для МСБ зачастую именно это становится барьером: долго, сложно, дорого», — сообщил «Коммерсанту» замдиректора по развитию бизнеса компании «АйТи Бастион» Константин Родин.

Жесткие требования — открытый диалог

Как отмечают опрошенные SecPost эксперты, роль ФСТЭК в последние годы существенно выросла. Но одновременно с этим регулятор старается идти навстречу бизнесу, когда дело касается разработки новых нормативов или подгонки продукта под правила.

Советник генерального директора по ИБ АО «КБ Рубеж», член правления АПКИТ Дмитрий Кувшинников характеризует критерии, по которым работает ФСТЭК, как «твердые и известные». При этом, отмечает собеседник, всегда можно получить консультацию у ФСТЭК по поводу прохождения процедур.

«Они слышат участников рынка и стараются в рамках закона идти навстречу, но надо понимать, что это регулятор и правила могут быть достаточно жесткие», — подчеркнул Кувшинчиков.

Как бы парадоксально это ни звучало в отношении регулятора, но слово «открытость» ассоциируется со ФСТЭК для многих представителей рынка. Менеджер по продукту NGR Softlab Николай Перетягин, комментируя работу со службой, отмечает, что ФСТЭК — одно из немногих ведомств, которое пытается «максимально учитывать» замечания и предложения по выпускаемым документам.

«Безусловно, все нюансы, боли, взаимоисключающие или противоречащие требования очень тяжело учитывать, поэтому приходится принимать непростые решения при выпуске документации, но, опять же, документы этого регулятора не статичны и меняются по ходу жизни», — обращает внимание Перетягин.

По словам Перетягина, скорость изменений в документации — это, скорее, «вопрос к ресурсу самого регулятора».

Косвенным источником информации о ресурсах регулятора можно считать «Государственный реестр сертифицированных средств защиты информации», опубликованный на сайте реестров ФСТЭК. С 1996 года в реестр были занесены более 1,8 тыс. СЗИ, как программных, так и аппаратных.

За неполный 2025 год в него были внесены 55 СЗИ, произведенные частными и государственными организациями. Так, в реестре соседствуют ПО для биометрической идентификации иностранцев на пунктах пропуска через границу, заявленное МВД России, и ViPNet Coordinator IG5 от «ИнфоТеКС».

Из данных «Государственного реестра сертифицированных средств защиты информации» следует, что в среднем же за последние пять лет ФСТЭК выдавал не более 150 сертификатов СЗИ в год. В 2024 году — 131, в 2023 — 116, в 2022 — 122, а в 2021 — 124.

Как ИБ-сектор работает со ФСТЭК

Ряд собеседников SecPost отказались комментировать работу со ФСТЭК, обращая внимание на то, что наиболее деятельное взаимодействие у регулятора построено с компаниями, занимающимися непосредственной разработкой продукции для ИБ. С 1 июня 2024 года ФСТЭК начала проверять крупных поставщиков услуг в ИБ-секторе на выдачу сертификата «соответствия процессов безопасной разработки ПО» (сертификаты РБПО). При этой проверке соответствию ГОСТам проходят не отдельные программы, а компании целиком.

За год сертификаты РБПО получили семь участников рынка, все они — заметные игроки в ИТ/ИБ-отрасли. Перечень приведен в соответствии с первенством выдачи сертификатов:

• АО «Лаборатория Касперского»;
• АО «СберТех»;
• ООО «РусБИТех-Астра»;
• АО «ИнфоТеКС»;
• ООО «Открытая мобильная платформа»;
• ООО «Постгрес Профессиональный»;
• АО «Позитив Технолоджис».

Руководитель отдела методологии и сертификации Positive Technologies Дарья Голубовская также подчеркивает открытость регулятора. По ее словам, благодаря учету пожеланий рынка ФСТЭК удается выработать качественные и актуальные требования к СЗИ. Из подобных она отмечает требования к многофункциональным межсетевым экранам (МФМЭ/NGFW) и средствам обнаружения и реагирования на уровне узла (EDR). Голубовская обращает внимание также на банк данных угроз безопасности информации, который ведет ФСТЭК.

«Использование БДУ ФСТЭК в процессах управления уязвимостями вошло в стандарты большинства крупнейших компаний России и поддерживается всеми ключевыми разработчиками отечественного ПО», — сказала эксперт.

По словам руководителя центра сертификации и соответствия стандартам «Лаборатории Касперского» Карины Нападовской, число киберугроз растет, как и число атак на государственные структуры, объекты КИИ и промышленность — в этих условиях спрос на качественные и надежные средства защиты растет. Предпочтение клиентов отдается сертифицированным решениям — это как гарантия безопасности.

«Я провожу 20–25 сертификаций ежегодно, что свидетельствует о том, что работа с регулятором отстроена и налажена, и за 10 лет работы в компании я ни разу не столкнулась с ситуацией, чтобы сертификация зашла в тупик и регулятор не подсказал, как разрешить тот или иной вопрос», — подчеркивает Нападовская.

Взаимодействию отрасли и регулятора помогает возросшее количество мероприятий и отраслевых встреч. На них часто проходит обсуждение проблем в области сертификации и безопасной разработки, вырабатываются пути решения. По словам Нападовской, все инициативы вендоров приветствуются и берутся в работу.

При этом эксперт «Лаборатории Касперского» отмечает: продукт необходимо тщательно проверять для сертификации, и это обуславливает некоторые сложности в прохождении процедуры. Но это продукты, которые защищают государственные органы, критическую инфраструктуру, конфиденциальную информацию. Не все информационные системы, по словам Нападовской, нуждаются в продукте, который был бы сертифицирован, — коммерческие компании могут использовать решения под свои нужды.

«Главное помнить, что свой новый продукт нужно сразу разрабатывать в концепции безопасной разработки и соответствовать требованиям, тогда потом не придется подгонять готовый продукт под эти самые требования, что будет равносильно новой разработке», — сказала Нападовская.

От точечной проверки — к разработке стандартов процессов

Взаимодействие ФСТЭК и бизнеса приводит к изменениям в сертификации и лицензировании продукции. По словам директора департамента сертификации и безопасной разработки ИТ-вендора «Инферит» (кластер «СФ Тех» ГК Softline) Максима Фокина, значительным шагом стало внедрение service level agreement (SLA) с регулятором и аккредитованными организациями — испытательными лабораториями и органами по сертификации.

«Это позволило компаниям эффективнее планировать ресурсы и точнее определять сроки реализации проектов», — говорит Фокин.

Одновременно с этим сократились и сроки на рассмотрение документации, связанной с получением сертификата. Раньше заявку могли рассматривать до месяца, теперь же этот срок сокращен до 15 календарных дней. По словам заместителя технического директора «АЛМИ Партнер», разработчика общесистемного и прикладного программного обеспечения Александра Куимова, сроки обработки выявленных недостатков органом по сертификации, лабораторией и заявителем сокращены с 90 до 30 календарных дней с момента подписания уведомления. Но не обходится и без трудностей.

«Процедуры становятся более понятными и формализованными, происходит цифровизация процессов, но есть еще моменты, которые хотелось бы оцифровать», — говорит Куимов.

Эксперт приводит в пример Приказ ФСТЭК № 55, согласно которому заявку на сертификацию можно направлять только заказным письмом с уведомлением о вручении. Таким же образом отправляются отказ, решение о проведении сертификации, аннулирование решения и сертификат соответствия. Внедрение электронного документооборота значительно упростило бы и ускорило процесс взаимодействия с регулятором, считает Куимов.

При этом в работе ФСТЭК в последние пять лет наметился существенный сдвиг в подходе к регулированию. Вместо точечного контроля разработчиков и их продуктов ФСТЭК стремится к оценке процессов. По словам заместителя генерального директора по инновационной деятельности «СерчИнформ» Алексея Парфентьева, фокус при сертификации СЗИ сместился с поиска недекларируемых возможностей в исходном коде на безопасность всего жизненного цикла разработки — речь о вышеупомянутой сертификации РБПО. И это более прагматичный подход, считает Парфентьев.

«Безопасность современного ПО — это не разовый акт, а непрерывный процесс, зависящий от регулярных обновлений и зрелости методологии разработки», — говорит эксперт.

По словам Парфентьева, судя по изменениям в регуляторике, намечается смещение фокуса ФСТЭК — с защиты периметра инфраструктуры на защиту непосредственно данных. Яркий пример — готовящийся ГОСТ по предотвращению утечек, который впервые задаст отраслевой стандарт в этой области.

«Актуализация же существующих актов, как в случае с Приказом № 117, обновляющим 17-й приказ, показывает, что регулятор не формально подходит к требованиям, а адаптирует их к современным угрозам», — отмечает эксперт.

Именно этот приказ касается сроков реагирования на угрозы. Но, как обращает внимание руководитель отдела в направлении QA в ИТ-компании SimbirSoft Марина Тарасова, также вводятся и правила использования ИИ-технологий в ГИСах.

«Ранее такого пункта в них не было, что объяснимо: когда выпускались предыдущие приказы, LLM, GPT-трансформеры либо не существовали, либо были вне поля внимания общества», — отмечает Тарасова.

Как считает Тарасова, работа ФСТЭК привела к официальной установке и описанию многих мер, приемов и процессов, которые уже считаются профессиональным стандартом при разработке ПО. В пример она ставит разделение тестовых и продуктовых контуров, ролевые модели для разработчиков с авторизацией и аутентификацией.

При этом требования, которые предъявляются при сертификации СЗИ, нельзя назвать заоблачными, отмечает исполнительный директор Ассоциации разработчиков программных продуктов «Отечественный софт» Ренат Лашин.

«Тут важна соответствующая зрелость разработчика, не только в техническом плане (в части разработки), но и соответствующих процессах внутри организации», — резюмирует Лашин.