В соответствии с российским законодательством все программные средства, которые применяются для защиты общедоступных государственных информационных ресурсов, конфиденциальной информации и сведений, составляющих государственную тайну, подлежат обязательной сертификации. О том, почему необходимо использовать сертифицированное программное обеспечение, рассказал в интервью РИА Новости заместитель генерального директора ЗАО «Научно-производственное предприятие «Безопасные информационные технологии» Валерий Цибин:
- Какова практическая необходимость сертификации ПО?
- Необходимость сертификации программного обеспечения, на мой взгляд, обусловлена тремя обстоятельствами. Во-первых, сертификация, по сути, является единственным инструментом независимой оценки, который позволяет определить, насколько эффективно реализованы механизмы защиты информации. Для пользователей сертификат служит дополнительной гарантией качества продукта и подтверждает его соответствие декларируемым производителем характеристикам и возможностям.
Во-вторых, встраивание сертифицированного ПО в автоматизированные системы организаций решает не только чисто функциональные задачи, но и обеспечивает безопасность работы системы в целом, создавая равнопрочную подсистему защиты циркулирующей в ней информации.
Наконец, использование сертифицированного ПО в организациях позволяет реализовывать обязательные требования нормативных документов по обеспечению защиты информации различных уровней конфиденциальности (государственная тайна, персональные данные, государственные информационные ресурсы), а также дает возможность пользоваться им на легальной основе.
- Какую опасность несет использование несертифицированного ПО?
- Использование несертифицированного ПО значительно повышает риски безопасного функционирования автоматизированных систем и обрабатываемых ими информационных ресурсов. Речь идет о юридических (правовых), технологических, организационных и чисто функциональных составляющих факторах риска. Под угрозой находятся конфиденциальность, целостность и доступность информации, а также надежность и безопасность информационных систем. Применение такого ПО облегчает не только несанкционированный доступ к информации, но и ее модификацию, уничтожение, блокирование или нарушение целостности, а также вызывает сбой в работе автоматизированных систем.
В нашей практике встречалось множество случаев, когда уязвимости несертифицированного программного обеспечения (в том числе антивирусов) приводили к краху автоматизированных систем. При этом на этапе сертификационных испытаний такие уязвимости были бы выявлены.
- В чем конкретные преимущества сертифицированного ПО?
- Сертифицированное ПО, безусловно, обладает целым рядом преимуществ. Во-первых, его возможно легитимно использовать в автоматизированных информационно-управляющих системах практически любого назначения и применения, начиная от высших органов госвласти и заканчивая обработкой персональных данных, использованием в частных сетях и ПК при подключении последних к сети Интернет.
Во-вторых, использование ПО, проверенного независимыми экспертами, значительно снижает риски возникновения и реализации угроз безопасности для систем, в которых такое ПО эксплуатируется, и дает дополнительные гарантии надежности применяемых информационных технологий в целом.
Немаловажно и то, что сертификат соответствия ПО демонстрирует открытость и лояльность продукта (а значит, компании-производителя) по отношению к потребителям. Например, сертификация на отсутствие недекларированных возможностей предусматривает предоставление разработчиком исходных текстов программ. Все это, бесспорно, повышает ценность и надежность продукта, делая его более привлекательным для пользователей.
- Почему же при всех вышеупомянутых требованиях и преимуществах на рынок все же попадает несертифицированное ПО?
- Основных причин поставки некоторыми компаниями несертифицированного ПО, на мой взгляд, две. Первая – так называемый «человеческий фактор», то есть недостаточная правовая грамотность потребителей ПО и погоня за мнимой выгодой. Эта причина лежит в той же плоскости, что и причина, по которой используется нелицензионное ПО. Другими словами, есть спрос – будет предложение. Такой подход чреват для потребителей тяжелыми технологическими и финансовыми последствиями.
Вторая причина – недобросовестная конкуренция со стороны производителей и поставщиков такой продукции: зачем тратиться на сертификацию, если и так возьмут? Видимо, поставщики несертифицированного ПО опасаются, что оно не выдержит даже элементарной проверки. Причина может быть и в другом. Может, предлагаемая ими продукция вовсе не безопасна? Ведь сертификационные испытания на соответствие требованиям безопасности направлены также и на выявление таких угроз, как наличие в программном обеспечении уязвимостей, «люков», «логических бомб» и т. п.
Для устранения этих причин необходима целенаправленная работа средств массовой информации, специалистов и государственных регуляторов, ответственных за обеспечение безопасности граждан, общества и государства.
