Certyfikacja w Rosji. Czego wymaga państwowa służba?

Aby móc sprzedawać swoje rozwiązania do sektora publicznego w Rosji, każdy producent musi przejść przez proces certyfikacji Federalnej Służby Kontroli Technicznej i Eksportowej (FSTEC). Jednym z wymogów jest udostępnienie kodów źródłowych. Jak wygląda praktyka?

Rosyjskie regulacje

Rosyjska ustawa federalna nr FZ-187 definiuje zasady ochrony infrastruktury krytycznej (CIF). W ramach CIF znajdują się m.in. podmioty (organy i agencje rządowe, osoby prawne, przedsiębiorcy), będące właścicielami systemów informatycznych, sieci informacyjnych i telekomunikacyjnych, zautomatyzowanych systemów działających w różnych sektorach (np. transport czy energetyka). 

Na podstawie regulacji organem odpowiedzialnym za wykonywanie ustawy FZ-187 jest FSTEC. Służba stworzyła system dla procesu certyfikacji, który obejmuje np. narzędzia cyberbezpieczeństwa. 

Proces certyfikacji

Wszystko zaczyna się od złożenia wniosku, wskazania rozwiązania (sprzętu lub oprogramowania) cyberbezpieczeństwa przeznaczonego do certyfikacji, a następnie przeprowadzenia jego testów. Na podstawie otrzymanych wyników tworzony jest raport i projekt dotyczący zgodności z wymogami certyfikacji – opisuje H-ON Consulting.

Na dalszym etapie następuje oznakowanie rozwiązania i ewentualnie wprowadzenie wszelkich zmian w kluczowych elementach, które mają następnie zostać potwierdzone przez rosyjski FSTEC. 

Wymóg ujawnienia kodu źródłowego

Służba nakłada także na podmioty pewne ograniczenia. Wśród nich znajduje się zasada, że wniosek o certyfikację musi zostać zatwierdzony przez właściciela sprzętu lub oprogramowania, a producent musi uzyskać zgodę na jego certyfikację. 

Ponadto, wymogiem koniecznym jest to, że wszystkie testy mają odbyć się na terenie Rosji.

Jednak szczególną uwagę przykuwa postanowienie, według którego kod źródłowy oprogramowania musi zostać w pełni ujawniony i przekazany do rosyjskich laboratoriów – zwraca uwagę H-ON Consulting. To oznacza, że w ramach procesu certyfikacji ujawnienie kodu jest wymagane. Wspomniane restrykcje wprowadzono w 2018 r.

Dotarły do nas doniesienia, że firma Check Point Software pomyślnie przeszła proces certyfikacji FSTEC i tym samym miała rzekomo przekazać kody źródłowe Rosjanom. 

W odniesieniu do tego przedsiębiorstwa, można wskazać to na przykładzie Check Point Security Gateway w wersji 77.30. W 2020 r. rozwiązanie to otrzymało certyfikat zgodności od rosyjskiej służby, o czym poinformował serwis TB Forum. Wskazano, że pakiet oprogramowania spełnia wymagania dotyczące zapór sieciowych. Certyfikat dla wersji R77.30 obowiązuje do 2025 r.

Oświadczenie firmy

„Firma Check Point Software Technologies nie ujawnia żadnych kodów źródłowych podmiotom zewnętrznym i nigdy tego nie robiła” – stwierdza przedsiębiorstwo w przekazanym nam oświadczeniu.

„Produkty firmy Check Point Software Technologies podlegały procesom certyfikacji w Federacji Rosyjskiej przed konfliktem i wojną na Ukrainie. Proces nie obejmował udostępniania nikomu kodu. Certyfikacja dotyczyła zgodności konkretnego produktu i jego działania (nie kodu źródłowego) z regulacjami i nadawała certyfikację określonemu produktowi. Od początku rosyjskiej agresji na Ukrainę (luty 2022) proces ten nie ma miejsca. Firma Check Point Software Technologies wstrzymała wszelkie prace rozwojowe i wysiłki zmierzające do uzyskania jakichkolwiek związanych z Rosją certyfikatów – takich jak GOST, FSTEK itp. Żaden z produktów Check Point Software Technologies nie przechodzi procesu certyfikacji na terytorium Federacji Rosyjskiej” – wskazuje firma.

Firma Check Point Software to amerykańsko-izraelski międzynarodowy dostawca oprogramowania z zakresu cyberbezpieczeństwa. W jego portfolio znajdują się rozwiązania dla stacji roboczych, sieci, chmury, urządzeń mobilnych czy baz danych.

Przedsiębiorstwo jest obecne w Rosji od ponad 20 lat.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].