Странная история посмертной сертификации

Неделю назад продукция израильской Check Point попала в Государственный реестр сертифицированных средств защиты информации, запись под номером 4209. Теперь госзаказчику, купившему «программно-аппаратный комплекс «Шлюз безопасности «Check Point Security Gateway версии R77.30», ничего не будет, несмотря на импортозамещение.

Событие, впрочем, представляет интерес не из-за предательства идеалов импортозамещения (об этом позже). Оно интересно тем, что ФСТЭК сертифицировала продукт, завершивший свой жизненный цикл. Производитель R77.30 более его не поддерживает.

Странная история посмертной сертификации
R77.30 занесён в реестр спустя полгода после смерти.

«Продукт поддерживается и будет поддерживаться для российского рынка и российских заказчиков. Ничего не изменится: штаб-квартира продолжает поддержку данного продукта в данном регионе — это включает в себя как обновления самого продукта, так и обновления всех баз и необходимых модулей. Продукт отвечает всем требованиям ФСТЭК, например, внедрена возможность проведения обновлений без подключения к сети интернет (т.е. с локальных носителей и ресурсов). Так же (орфография оригинала – АА) доработаны модули самотестирования», – такие слова пришли от имени главы российского офиса в ответ на просьбу объяснить, почему для сертификации выбран окончивший жизненный цикл продукт, а не свежий, поддерживаемый как положено.

Когда в задачке спрашивается «почему в реестр внесли старьё», а вам отвечают «доработаны модули самотестирования» – это двойка. И не только по русскому языку.

Пришлось разбираться. R77.30 – софт. Работает на разнообразном чек-понтовом «железе». О том, что софт с «железом» одна плоть, и что качество продукта, будь то айфон или «программно-аппаратный комплекс «Шлюз безопасности «Check Point Security Gateway версии R77.30», определяется программным обеспечением, говорить не станем за очевидностью.

Вместо этого вспомним историю Windows 7, которая, как и R77.30, более не поддерживается. В январе потребовались специальные разъяснения ФСТЭК о дальнейшем использовании этой ОС: сертифицировали её при жизни, но теперь она умерла, и эксплуатантам надлежит избавиться от тела не позднее 1 июня 2020.

Почему с R77.30 поступили ровно наоборот, сертифицировали за пределами жизненного цикла? Вариантов два: 1) это не эксгумация, просто процедура внесения в реестр длинная, пока она шла, срок поддержки продукта вышел, но не бросать же хорошее дело, вот и довели его до конца; 2) израильтяне не готовы показывать ФСТЭК свежий код, готовы показывать только старый, им самим более не нужный (анализ кода – условие сертификации).

Первый вариант маловероятен. По крайней мере, хочется верить, что так легко ФСТЭК не проведёшь. Второй вероятен более чем.

Я бы не заинтересовался этой историей, если бы неделю назад новость не транслировались из каждого утюга: было ясно, что люди в российском Check Point бурно празднуют победу. И если бы вместо того, чтобы нагло игнорировать вопрос «почему старьё», мне по-русски, без поминания модулей самотестирования, объяснили природу явления, я, скорее всего, просто ретранслировал бы комментарий на публику и успокоился. Но ничего объяснять не захотели.

Теперь, когда природу явления мы выяснили самостоятельно, вернёмся ненадолго к импортозамещению. Оно в IT не мэйнстрим – сделать всё самим немыслимо, всегда надо что-то импортировать. Но не всё же подряд.

Ключевой вопрос: производят ли в России межсетевые экраны, способные конкурировать с «Check Point Security Gateway версии R77.30»? Да, производят.

Пойдёт ли на пользу отечественному производителю внесение R77.30 в реестр разрешённой к госзаказу продукции? Нет, не пойдёт.

Аргументировать против этого можно только одним способом: упирая на благо конкуренции. Но здесь конкуренция никакое не благо, а благоглупость. Рубль, заработанный IT-компанией, оборачивается минимум пятью рублями прироста ВВП – с какой, спрашивается, стати надо эти шесть (1+5) бюджетных, т.е. народных, рублей отдавать Check Point, в ВВП другой страны? Да ещё за устаревший, неподдерживаемый продукт? Дополнительные возражения против лозунга «ах, до чего же полезна конкуренция, спасибо, ФСТЭК!» есть во множестве, однако довольно и этого.

Далее. Анализ кода уменьшает риск, но не избавляет от него (Check Point – это израильский Huawei, в миниатюре, конечно). Пренебрегаете этим риском – ладно, не настаиваю. С меня довольно того, что остаётся риск прекращения поставок из-за санкций. Его оспорить сложнее.

В общем, история странная. Высказаться о ней было необходимо.

Точка зрения автора может не совпадать с мнением редакции.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться:

11 КОММЕНТАРИИ

  1. Автор статьи несёт откровенную ахинею. То что программный продукт перестал поддерживаться не означает, что он не пригоден к эксплуатации. Тем более, что производитель будет для региона Россия поддерживать продукт. С таким же успехом можно продать папуасам старое железо, Виндовс 95 и поддерживать его. Существует масса примеров, когда ПО разрабатывается в разных конфигах под разные регионы с учётом особенностей рынка.

    • Когда текст комментируют 1) анонимно; 2) бестолково; 3) заходя с “автор дурак” – эти симптомы однозначно указывают на диагноз, хорошо знаю по опыту

  2. > процедура внесения в реестр длинная, пока она шла, срок поддержки продукта вышел, но не бросать же хорошее дело, вот и довели его до конца

    Почему же вы считаете этот вариант маловероятным?
    Они занимались сертификацией этой версии не один год.

    • Исходил из того, что ФСТЭК не должна вносить в реестр неподдерживаемый продукт вне зависимости от того, сколько лет его сертифицировали, и CP ничего об этом не сообщил на прямо заданный вопрос, а что тут было скрывать? Скрывать можно было нежелание показывать свежий код

  3. Вообще, я всегда думала, что регистрация определенной зафиксированной версии программного продукта во ФСТЭК подразумевает отсутствие как факт возможности “обновления самого продукта, … и необходимых модулей”. После внесения подобных изменений у клиента будет в наличии уже несертифицированная версия.

    • Приказ ФСТЭК №51, прошлогодний. Разрешено обновлять сертифицированный софт. Потом уже установленные обновления отправляются на экспертизу

    • Понятно, не отслеживала. Интересно кто, в какой срок и как отслеживается данная процедура. Посмотрю, спасибо.

  4. R77.30 Check Point начал сертифицировать во ФСТЭК в 4 кв. 2017г. Так что однозначно вариант №1. Специально проверил сейчас переписку с СР про это в то время.

    • Спасибо. В CP эту причину не назвали, видимо, предпочли прокомментировать на отвяжись.

      Почему однозначно? Одно другого не исключает.

  5. “Однозначно”, т.к. вариант №2 “израильтяне не готовы показывать ФСТЭК свежий код, готовы показывать только старый, им самим более не нужный” не проходит. В 2017г. R77.30 был еще актуальным. Я склоняюсь к мысли, что ФСТЭК долго мурыжила СР, т.к. R77.10 был сертифицирован ФСТЭК только в июле 2018г. (также за гранью EOS).
    Т.е. они просто отдают на сертификацию каждую новую версию по порядку и не их вина, что ФСТЭК работает долго. Также СР пишет сейчас: “Уже началась процедура сертификации версии R80.ХХ. Ориентировочные сроки – 21й год.”

    • Вероятно, вы правы. Насчёт правоты CP и особенно ФСТЭК не уверен

Comments are closed.