Источник: Ведомости
Разработчики операционных систем и решений для информационной безопасности смогут не проходить повторной аттестации ФСТЭК для обновленных версий ранее аттестованных решений. Об этом «Ведомостям» рассказал директор по развитию бизнеса Cloud.ru Михаил Лобоцкий и подтвердил директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи Сергей Демидов.
До конца 2024 г. ФСТЭК планирует упростить процесс сертификации софта, заявил Лобоцкий на XX форуме «Телеком 2024» газеты «Ведомости». Изменения, которые планирует внести ФСТЭК в процедуру проверки, позволят сократить сроки аттестации.
В кулуарах форума Лобоцкий уточнил, что сейчас процесс сертификации нового продукта занимает минимум год, а пересертификации, необходимой для каждого обновления, – минимум полгода. «Этот процесс выглядит так: дается год на тестирование на уязвимости в испытательной лаборатории, после чего вместе с документами это передается во ФСТЭК», – поясняет он. Суть изменений заключается в том, что ФСТЭК будет аттестовывать не готовый продукт, а процесс его разработки. Таким образом аттестация сократится до нескольких месяцев, а разработчики смогут предлагать заказчикам уже аттестованные решения, уточнил Лобоцкий.
В текущей конфигурации законодательного поля любые изменения в программном коде, например, в случае выявления уязвимости или программных ошибок в системах защиты информации требуют провести сертификацию заново, уточняет заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. «Процесс сертификации занимает месяцы. По закону надо ждать сертификации, оставляя информационную систему без защиты, или же обновить софт, но с точки зрения закона стать нарушителями», – сетует он.
Свежие комментарии