ПРОВЕДЕНИЕ СЕРТИФИКАЦИОННЫХ ИСПЫТАНИЙ В УСЛОВИЯХ ИМПОРТОЗАМЕЩЕНИЯ И ДЕЙСТВУЮЩИХ САНКЦИЙ

CONDUCTING CERTIFICATION TESTS IN THE CONDITIONS OF IMPORT SUBSTITUTION AND CURRENT SANCTIONS

Zabegin Kirill

student, Department of CCB-2 "Applied Information Technologies", MIREA - Russian Technological University

Russia, Moscow

Maksimova Elena Alexandrovna

scientific supervisor, Associate Professor, MIREA - Russian Technological University

Russia, Moscow

АННОТАЦИЯ

Введение дополнительных санкций в 2022 г. в отношении российской экономики обострило круг проблем сертификационных испытаний. Зарубежная сертификация в условиях санкций становится недоступной процедурой для российских программных продуктов, а отечественная сертификация не устраняет проблемы диагностики безопасности. Применение иностранными разработчиками программных закладок и бэкдоров усложняет проблемы обеспечения безопасности сертифицируемых приложений.

ABSTRACT

The introduction of additional sanctions in 2022 against the Russian economy has exacerbated the range of problems of certification tests. Foreign certification under sanctions becomes an inaccessible procedure for Russian software products, and domestic certification does not eliminate the problems of security diagnostics. The use of software bookmarks and backdoors by foreign developers complicates the problems of ensuring the security of certified applications.

Ключевые слова: сертификационные испытания, санкции, импортозамещение, экспорт, закладки, малварь, бэкдор.

Keywords: certification tests, sanctions, import substitution, export, bookmarks, malvar, backdoor.

Введение в феврале 2022 г. санкций в отношении предприятий России со стороны стран ЕС и США определило ограничения на виды экономической деятельности. Не обошли они стороной сертификацию и стандартизацию. Данные процедуры особенное значение имеют для экспортно-ориентированных предприятий, действующих по контракту в других странах на основе международных сертификатов. Тем не менее ряд субъектов (в том числе Международная организация ISO), в компетенцию которых входят вопросы сертификации и стандартизации, не спешат с импульсивными шагами касательно санкций. Большинство национальных органов по сертификации и стандартизации подписавшие международное соглашение IAF MLA, не аннулировали и не приостановили действие российских сертификатов (за исключением отдельных стран – США, Нидерланды, Германия, приостановившие действия всех своих сертификатов, выданных российским предприятиям, что влечет невыполнение обязательств по контрактам, потерю рынков и клиентов), либо заявили о частичном снижении деловой активности [3].  Перспективы развития сертификации и стандартизации в таких условиях видятся возможными через сотрудничество с «дружественными» к России странами.

Проблема импортозамещения сертифицированных аппаратных платформ, на современном этапе является трудноразрешимой, так как большинство таких систем построено на зарубежных аналогах. Отечественные платформы слабо развиты, а многие проекты долгие годы разрабатывались на зарубежных технологиях. Вызвано это дефицитом аппаратных платформ, а также сложностью переноса готовых продуктов на доверенные операционные системы.

Процент зависимости от зарубежных технологий все ещё велик, и в ближайшее время принципиально не снизится, следовательно, в области сертификации все ещё будет преобладать зарубежная аппаратура. Такая ситуация приведет к тому, что договоренности и доверие к прошлым партнерам будет снижено, и как следствие, следует ожидать новые векторы атак и закладок в продуктах, которые ещё недавно были достаточно изучены в плане сертификации.

Очень большой пул технологий был разработан в «недружественных к России» странах, из-за чего стали появляться случаи, когда иностранный софт стал преднамеренно заражаться разработчиком или подрядчиками для того, чтобы провести атаку на российские системы и их пользователей. Отказ в обслуживании российских компаний также наносит сильный ущерб для бизнеса (Oracle, docker, GitHub и пр.) Такие действия привели к тому, что теперь использовать эти средства нельзя, но так просто отказаться от функционала таких программ и систем не просто, а порой и вовсе нельзя по тем или иным причинам. На российском рынке возник большой спрос на аналоги импортозамещения таких продуктов. Все это приводит к большому притоку отечественного ПК и ПАК на сертификацию.

Сказанное оказало значительное ограничительное воздействие на организацию сертификационных испытаний. Стоит понимать, что проведение подобных испытаний в связи с внесением изменений является нетривиальной задачей, поскольку помимо визуальных изменений могут быть функциональные изменения, в том числе и в исходном коде может измениться объект оценки, что должно быть также отражено в повторно проведенных испытаниях. Также следует отметить фактор наличия полного и корректного комплекта документации, описанного в 76м приказе ФСТЭК России [4] и ГОСТ БРПО 56939-16 [1].

В связи со сложившейся ситуацией Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК России) устанавливает особенности в проведения сертификации по 55 приказу от 3 апреля 2018 г. Главными особенностями можно считать изменения в сроках утверждения методики испытаний на сертифицируемое средство защиты информации. Для разработки программы и методики испытаний для лаборатории выделяется 20 календарных дней при выполнении требований от заявителя, а утверждение органом по сертификации всего 10 календарных дней при выполнении условий. Также после проведения испытаний ФСТЭК России рассматривает материалы и принимает решение о выдаче сертификации в течении не более 15 календарных дней. Благодаря такой особенности можно достаточно быстро провести сертификацию средств защиты информации, которое потенциально заменит иностранное на более доверенное программное обеспечение в ГИС, КИИ и других системах. Более того, если ранее сертифицируемое средство вносит изменения в свой продукт, то проведение ИК разработчик может взять полностью на себя и провести его самостоятельно не привлекая лабораторию, все это сделано для ускорения проведения проверок в рамках сертификации. Набрав темп по проведению сертификации ФСТЭК России решил дополнительно провести проверку ранее сертифицируемых (по устаревшей методике) средств защиты информации требуя от разработчиков провести инспекционный контроль по требованиям крайней версии методики. Многие разработчики стали получать письма от ФСТЭК России о приостановке действия сертификата до тех пор, пока те не проведут инспекционный контроль по своему продукту. Лаборатории подстраиваются под нынешние реалии наращивая команду, а с ней и темп проведения сертификационных испытаний.

Получение аттестата этой федеральной структуры при несовершенстве правовой базы вызывает немало практических вопросов, связанных с идентификацией недекларированных возможностей. Данные исследований показывают, что большинство некорректностей кода и программных закладок обнаружены не на основании данных документов, а вопреки им [2]. То есть используемая нормативно-правовая база не позволяет устанавливать недекларируемые возможности программного обеспечения, и влечет проблемы нарушения безопасности программ. Главное объяснение проблеме – сложность структуры программного кода, а также технологическое отставание инструментов сертификационных испытаний от зарубежных аналогов, что делает его динамический и сигнатурный анализ программного продукта бесполезной формальностью.  Сертификационные испытания – многоуровневая процедура, отличающаяся длительностью проверки программ. Кроме того, отсутствие доступа к оригинальной разработке выступает основной причиной невозможности прохождения сертификационных испытаний для программных решений.

Многие российские пользователи и организации оказались в одном из самых киберопасных регионов мира, в связи с чем использование проприетарных иностранных разработок при проведении сертификационных испытаний является одним из важных триггеров у экспертов при проведении анализа уязвимостей объекта оценки, поскольку иностранный разработчик может оставить программные закладки или бэкдоры, которые серьезно влияют на безопасность сертифицируемого приложения. Основной рекомендацией будет являться переход на отечественный аналог, при имеющемся аналоге.

Продукты на очень большую часть состоят из заимствованных библиотек и модулей, могут работать на разных системах, и исполняться в разных средах. Но импортозамещение не так просто провести в заимствованных библиотеках. Злоумышленники и недобросовестные разработчики таких продуктов могут через обновления или внесения бекдоров или malware причинять вред косвенно через продукты добросовестных разработчиков, которые лишь использовали предоставленный ранее им инструментарий.

Список литературы:

1. Защита информации. Разработка безопасного программного обеспечения. Общие требования. ГОСТР 56939- 2016 / Национальный стандарт Российской Федерации. – М.: Стандартинформ, 2016. – 24с.
2. Марков А.С., Миронов С.В., Цирлов В.Л. Выявление уязвимостей программного обеспечения в процессе сертификации / А.С. Марков, [и др.] // Известия Южного федерального университета. – 2006. –  №7. – С.82-87.
3. Никаноров П.А. Обзор санкций и ограничений в сфере стандартизации, аккредитации и сертификации / П.А. Никаноров // Контроль качества продукции.  – 2022. – №5. – С.9-13.
4. "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)" (утв. приказом ФСТЭК России от 02.06.2020 N 76) // СПС Консультант. – [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_367399/ (дата обращения: 29.09.2022).