консалтинг в формате HD
Напишите нам
8 (812) 408-25-91
Поиск

Брешь в реестре отечественного ПО

29 Августа 2017
Все статьи
Брешь в реестре отечественного ПО Электронная коммерция

Как известно, российским законодателем взят курс на использование отечественных компьютерных программ и поддержку их правообладателей. Среди прочего, соответствующая идея нашла воплощение в реестре российских программ для электронных вычислительных машин и баз данных (Реестр). 

Сейчас государственным и муниципальным органам разрешено без дополнительного обоснования осуществлять закупки только тех программных продуктов, которые официально признаны происходящими из Российской Федерации и включены в Реестр. Казалось бы, для отечественных производителей должны открыться широкие возможности, а выход зарубежных поставщиков на рынок, наоборот, должен существенно усложниться.

Между тем, 23 июля 2017 года в Реестре появился комплекс Ankey SIEM, так называемая «русская» версия ПО HP ArcSight (представляет собой платформу для мониторинга и контроля инцидентов в сфере информационной безопасности). Хотя HP ArcSight прямо не упоминается в Реестре, ни для кого не секрет, что именно данный продукт фактически лежит в основе программного комплекса Ankey SIEM. Согласно размещенным на сайте Реестра данным, исключительное право на программный комплекс принадлежит ООО «Газинформсервис», поскольку «указанный продукт и его компоненты были созданы работниками ООО «Газинформсервис» в пределах установленных для работников (авторов) трудовых обязанностей и, соответственно, являются служебными произведениями». 

Примечательно, что по данным СМИ разработчики ООО «Газинформсервис» начали работу над Ankey SIEM в 2016 году. Однако по оценкам экспертов вероятность создания полноценной российской SIEM-системы за такой непродолжительный срок крайне мала. Следовательно, с высокой долей вероятности, речь шла лишь о частичной модификации кода исходного программного комплекса, которая однако позволила утверждать, что он был «создан работниками ООО «Газинформсервис». Однако, как оказалось, даже этого достаточно для того, чтобы констатировать у ПО отечественное происхождение. Насколько такое положение вещей соответствует целям ведения Реестра – вопрос открытый. 

Второй интересный момент состоит в том, что в отличие, например, от того же ArcSight  ESM (номер сертификата 3605) в реестре сертифицированных средств защиты информации на сайте ФСТЭК России отсутствует информация о сертификате соответствия, выданном в отношении Ankey SIEM. При этом одним из условий включения в Реестр отечественного ПО программ, реализующих функции защиты информации, является соответствие ПО требованиям безопасности информации, которое подтверждено сертификатом системы сертификации средств защиты информации по требованиям безопасности информации. Причины такого положения вещей также неясны. Остается только предположить, что данные о выданном сертификате просто не успели разместить на сайте ФСТЭК.

Следует отметить, что с 27 сентября 2017 года в силу вступают дополнительные требования к ПО, включаемому в Реестр. Так, основные новшества состоят в следующем:

  1. интерфейс ПО должен будет в обязательном порядке реализовываться на русском языке (при этом другие языки могут использоваться дополнительно); 
  2. ПО запретят требовать установки дополнительных программ (программных модулей, шрифтов); 
  3. ПО должно обновляется только после подтверждения пользователя.