22.03.2016

Минкомсвязи пустило в Реестр российского ПО софт без лицензий ФСТЭК

Интернет-портал cnews.ru, март, 2016<br>
Экспертный комментарий Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."

Экспертному сообществу удалось убедить Минкомсвязи в том, что отсутствие лицензии ФСТЭК не является поводом не включать программный продукт в Реестр российского софта. Определение "отечественности" ПО и его лицензирование, необходимое для использования в госорганах, признаны независимыми друг от друга задачами.

Письмо Минкомсвязи

Минкомсвязи распространило среди государственных и муниципальных заказчиков письмо от 15 марта 2016 г. за подписью главы ведомства Николая Никифорова с разъяснениями о применении Реестра российского ПО в части соблюдения требований по защите информации. Текст документа приводит ассоциация разработчиков программных продуктов "Отечественный софт".

Министерство обращает внимание респондентов на необходимость самостоятельного принятия решений об установлении требований по защите информации, содержащейся в их информационных системах, в том числе, при выборе из Реестра общесистемного, прикладного, специального ПО, ИТ, а также средств защиты информации. Эти решения госзаказчики должны принимать, ориентируясь на соответствующие требования Федеральной службы по техническому и экспортному контролю (ФСТЭК), федеральный закон "Об информации, ИТ и о защите информации" и постановление Правительства о защите персональных данных.

Что это означает

Суть сообщения Минкомсвязи разъяснила CNews президент группы компаний InfoWatch Наталья Касперская. Она отмечает, что среди критериев попадания в Реестр есть подпункт, который гласит, что если программа относится к средствам защиты информации, то на неё обязательно нужна лицензия ФСТЭК.

"Однако на определённом этапе стало понятно, что этот подпункт избыточен, ведь госкомпании в любом случае обязаны получать лицензию ФСТЭК на использование систем защиты информации, — говорит Касперская. — Получается, что по этому подпункту экспертный совет должен запрашивать данные о лицензиях у компаний-разработчиков, а компании должны эти данные собрать и предоставить. Если лицензий у них нет, то их программные продукты не попадают в реестр, и таким образом мы, по сути, ограничиваем свободную конкуренцию. Но для попадания в реестр важно соблюдение критериев "отечественности", а не наличие лицензий внутренних контролирующих органов".

По словам Касперской данное противоречие и привело к тому, что у АРПП "Отечественный софт" появилось предложение разделить зоны ответственности: экспертный совет должен заниматься формированием реестра, а ФСТЭК — выдавать лицензии. "Это две разные задачи, и я считаю данное предложение абсолютно правильным", — заключает топ-менеджер.

Дополнения экспертов

Исполнительный директор ассоциации разработчиков программных продуктов "Отечественный софт" Евгения Василенко добавляет к этому, что быть законодательно закреплённым ориентиром для госзаказчиков (которым лицензии ФСТЭК могут потребоваться) — это хоть и важнейшая, но не единственная задача Реестра. В будущем на Реестр сможет опираться государство, например, при оказании поддержки отечественным разработкам, причём в тех сферах, где использование этих решений не будет сопряжено с регулированием со стороны ФСТЭК.

"Сертификация не имеет прямого отношения к определению происхождения софта. Она занимает значительное время и требует существенных затрат, — говорит Василенко. — Эти факторы не должны затруднять работу экспертного совета и процедуру формирования Реестра".

Избыточность обязательных требований по сертификации на конкретном примере поясняет эксперт по информационной безопасности компании "Аладдин Р.Д." Сергей Котов. "Если в программном продукте реализована функция доступа по паролю для разных ролей пользователя, скажем, для главного бухгалтера и счетовода (функция разграничения доступа), требуется ли для такого ПО сертификат ФСТЭК на средство защиты от несанкционированного доступа? — задаётся он вопросом. — Ответ простой: если продукт является средством защиты информации и применяется в органах госвласти, то требуется. Если функция другая, например, бухгалтерский учёт, то нет, хотя, при желании, можно попытаться получить".

По убеждения Котова, во втором случае эффект от сертификата вряд ли можно считать сопоставимым с теми трудозатратами на корректную реализацию функции, которые позволят этот сертификат получить.

"И никаких противоречий с требованиями регуляторов в документе Минкомсвязи нет — обычное разъяснение для тех госорганов, которые "не в теме", а больше, как мне кажется, попытка подстелить соломку на поролоновые маты — экологично…", — завершает свою мысль Котов.

В данном случае его мнение разделяет и генеральный директор компании "Код безопасности" Андрей Голов. "Никифоров просто подчёркивает, что каждый в своей области должен соблюдать требования министерства и регулятора, и эти требования не противоречат друг другу, — говорит он. — Так что ничего нового не происходит".

В Минкомсвязи ситуацию с рассылкой письма госзаказчикам комментировать CNews не смогли.