Сертификаты принуждения

Система сертификации информационных продуктов в России, задуманная как инструмент контроля качества и кибербезопасности, постепенно становится механизмом фильтрации участников рынка. Получение сертификатов ФСТЭК, ФСБ или Минобороны превращается в длительный, дорогой и непрозрачный процесс. Для крупных вендоров это стало нормой, а для малого и среднего бизнеса — фактором исключения из ключевых сегментов рынка. А отсутствие сертификата даже при наличии технологически зрелого продукта может автоматически закрыть доступ к тендерам, рынкам КИИ и госзаказу. «Ъ-Технологии» разобрались, как работает сертификация сегодня, кто рискует остаться «за бортом» и есть ли способ превратить ее из барьера в инструмент развития.

Выйти из полноэкранного режима

Развернуть на весь экран

Ключевые регуляторы сертификации — ФСТЭК, ФСБ и Минобороны. У каждого свои критерии, процедуры и сферы влияния. Но все требуют от компаний подтвержденного штата, лицензий, сертифицированных помещений и соблюдения отраслевых стандартов.

По словам собеседника в одном из российских разработчиков, сертификация сегодня фактически является показателем зрелости компании. «Чтобы получить сертификат, нужно иметь не просто готовый продукт, но и выстроенные процессы промышленной разработки, включая соответствие ГОСТу и принципам РБПО — разработки безопасного программного обеспечения»,— поясняет он.

Сертификация требуется прежде всего для продуктов, внедряемых в системах критической информационной инфраструктуры (КИИ) или в госорганах, уточняет Степан Харитонов, руководитель направления безопасной разработки НПЦ КСБ. Он приводит примеры — «РусГидро», «Росатом», «Россети», где в тендерной документации формулируется обязательное наличие сертификата.

Но, как подчеркивает генеральный директор «РДТех» Светлана Иванова, такие требования распространяются и на решения, которые только планируются к разработке. «Сертификация становится фильтром на входе, даже если формально закон этого не требует»,— говорит она. В интервью «Ъ» Константин Родин, заместитель директора по развитию бизнеса компании «АйТи Бастион», уточнял, что у сертификата ФСТЭК назначение — обеспечить защиту «здесь и сейчас». «Сертифицированные решения — это, безусловно, важно для госсектора и объектов КИИ, но для МСБ зачастую именно это становится барьером: долго, сложно, дорого»,— подчеркивал он.

Процедура без конца

По оценке собеседника в одном из российских разработчиков, сам процесс получения сертификата ФСТЭК включает до шести этапов — от лицензирования и подготовки исходного кода до многомесячных испытаний, лабораторных проверок и согласований. Основные сложности — в дефиците компетентных специалистов, трудоемкости подготовки документации и сложности технической адаптации продуктов, подчеркнул эксперт.

«Это объективно непросто, так как постоянно повышаются требования к надежности решений»,— признает менеджер сертифицированных продуктов «МойОфис» Юрий Осипов. При этом, по его словам, сотрудники ФСТЭК готовы консультировать, а сама структура требований — прозрачна. Но сложность заключается в самом объеме работ и ресурсоемкости их выполнения. По мнению Андрея Акинина, гендиректора Web Control, новые требования стали инструментом повышения качества. Однако и он признает, что пройти процедуру без изменения логики разработки невозможно. «Сертификат стал маркером зрелости и качества, но получить его без серьезных вложений нельзя»,— подчеркнул он.

При этом, по словам Александра Цыкунова, гендиректора «Некстби», регуляторное давление усилилось не на всех. «Для компаний без КИИ формально ничего не изменилось. Но основная масса проектов и бюджетов сейчас — в госсекторе и импортозамещении, а туда без сертификации не попасть»,— констатирует он.

На практике это означает: если продукт ориентирован на госсектор, без сертификата разработчик оказывается в уязвимом положении. Не имея документа, он не может войти в реестр Минцифры, участвовать в торгах, попасть в рекомендованные перечни ведомств.

Перезагрузка подхода

Как уточнял «Ъ» управляющий партнер Sk Capital Станислав Колесниченко (см. «Ъ» от 19 декабря 2024 года), заказчики все пристальнее обращают внимание на наличие сертификатов безопасности, например сертификата ФСТЭК, что «является большим преимуществом при конкуренции среди вендоров».

По словам собеседника в одном из российских разработчиков, безопасность — это не разовая проверка, а постоянный процесс. «Она включает не только сертификацию, но и SBOM (перечень компонентов, используемых в программном обеспечении), регулярные обновления, мониторинг компонентов, устранение уязвимостей»,— поясняет он. По его мнению, ключ — в диалоге между индустрией и регуляторами, а также в использовании опыта научных центров вроде ИСП РАН.

Господин Харитонов обращает внимание на несоразмерность требований и возможностей: «Большинство методик сейчас ориентировано на enterprise-сегмент, а не на разработчиков из МСП». В результате на рынке формируется «двухуровневая система»: крупные вендоры успешно проходят сертификацию, а малые и средние — вытесняются, не имея ресурсов на соответствие.

«Нельзя не отметить, что их реализация обходится компаниям недешево, поэтому основной целью является поиск компромиссного решения, при котором разработчики смогут себе позволить внедрить процедуры РБПО безболезненно для собственного бизнеса, и тем самым это позволит компаниям пройти сертификацию у регуляторов»,— подчеркнул господин Харитонов.

Сегодня сертификация ИТ-продукта в России — это не просто документ, а допуск в «закрытую зону» ИТ-рынка. По мнению экспертов, выходом могут стать адаптация требований под разные категории разработчиков, а также создание модульной модели сертификации. Это позволило бы строить путь соответствия поэтапно, а не требовать сразу полного соблюдения всех норм.

Вероника Читанава