Долгие годы российское ИБ-сообщество пеняло на регуляторов ИБ за игнорирование интересов разработчиков и пользователей средств защиты информации (СЗИ).
Учтя критику, ИБ-регуляторы наладили-таки обратную связь с ИБ-сообществом. При регулятивных структурах сформированы рабочие группы для совместной с ИБ-экспертами работой над актуальными задачами регулирования области ИБ. На сайтах регуляторов публикуются проекты готовящихся ими документов и принимаются предложения по коррекции проектов от всех желающих участвовать в этом нелегком деле.
Более того, регуляторы даже начали пенять российским ИБ-специалистам на их пассивность и нежелание пользоваться налаженной обратной связью. Именно на этой неожиданно обозначившейся проблеме сосредоточился в своем выступлении на IV форуме АЗИ «Актуальные вопросы информационной безопасности России» начальник управления ФСТЭК России Виталий Лютиков.
Он обратил внимание на то, что представленные на публичное обсуждение инициативы Минкомсвязи, направленные на импортозамещение, не учитывают аспекты ИБ. Однако никто из представителей разработчиков и потребителей средств ИБ на это до сих пор не отреагировал.
Другой пример. В рамках совершенствования нормативно-правовой базы ФСТЭК проводит доработку своего приказа № 17 от 11 февраля 2013 г. («Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»). Через свой сайт ведомство предложило всем заинтересованным подать предложения на этот счет. Однако, по словам г-на Лютикова, на 14 апреля пришло единственное предложение (за исключение четырех предложений, поступивших непосредственно от территориальных органов самой ФСТЭК).
В экспертном совете по вопросам импортозамещения при Совете Федераций ФС РФ представлены около десятка российских компаний-разработчиков. Однако, лоббируя свои интересы, они, как отметил г-н Лютиков, упрекают ФСТЭК и ФСБ за то, что те настаивают на создании на территории России условий для технической поддержки разрабатываемых программных продуктов и обязательной разработке комплектов сопроводительной документации. Он выразил сожаление, что ни одна из российских компаний, занимающихся разработкой СЗИ, не указала на то, что с позиций обеспечения ИБ это делать следует. «У меня складывается впечатление, что российские ИБ-разработчики, желая сделать [свою] жизнь лучше, не прилагают для этого достаточных усилий», — заявил он.
Российских разработчиков ПО г-н Лютиков упрекнул в том, что те нередко ищут варианты продвигать на российский рынок зарубежные продукты, не обладая, однако, при этом никаким опытом по поддержке этих продуктов и обеспечению их безопасного функционирования. По его наблюдениям, с провозглашением стратегии импортозамещения количество таких российских компаний резко увеличилось. В таких условиях, как считает г-н Лютиков, регуляторам сложнее сдерживать поступление на российских рынок иностранных продуктов, и тем более некорректно предъявлять регуляторам претензии в неэффективности их работы на этом направлении.
Без должного внимания ИБ-экспертов остается, по оценкам г-на Лютикова, разработанный и опубликованный на сайте Технического комитета по стандартизации «Защита информации» (ТК 362) проект национального стандарта безопасной разработки ПО, касающегося общей культуры создания защищенного ПО.
Российские разработчики СЗИ в массе своей (за отдельными исключениями), как отметил г-н Лютиков, заявляют о дороговизне использования средств безопасной разработки и их неактуальности в нынешних условиях. Такую позицию он оценивает как ошибочную и полагает, что она может тормозить использование свободного ПО (СПО), в первую очередь в госструктурах.
Сославшись на положение дел с исправлением критической уязвимости Shellshock (она относится к разрабатываемой в рамках проекта GNU программе Bash, используемой во многих Unix-подобных операционных системах и дистрибутивах) в продуктах российских разработчиков (после опубликования этой уязвимости в конце лета прошлого года к марту нынешнего ее устранили в своих продуктах только четыре разработчика), г-н Лютиков заключает, что без внедрения контроля процедур разработки использование СПО создает больше ИБ-угроз, чем при использовании закрытого кода.
