Словацкая компания Eset получила сертификат ФСТЭК России класса K1 на антивирусный продукт Eset NOD32. Пока это единственный антивирусный продукт, имеющий такой сертификат, но очевидно, что за Eset последуют и другие вендоры, в первую очередь — российские производители. Например, «Лаборатория Касперского» (лидер на рынке госпоставок) и «Доктор Веб» уже получили сертификаты второго класса. Такое стремление понятно: согласно закону ФЗ №152 «О персональных данных», к 1 января 2010 г. все организации, деятельность которых предполагает обработку персональных данных физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. Этот закон затрагивает и антивирусные продукты, к которым предъявляются четкие требования.
Для получения сертификата Eset потребовалось открыть и доработать исходные коды продукта, в частности предусмотреть возможность повторного сканирования системы при обнаружении угрозы. Представители НПО «Эшелон» проверили исходный код на отсутствие типовых уязвимостей и програм-мных закладок. Весь процесс занял примерно шесть месяцев с момента подачи заявки во ФСТЭК. Андрей Албитов, директор представительства ESET в России, не назвав конкретную сумму, отметил, что сертификация «стоила очень дорого».
Очевидно, с помощью сертификации Eset надеется укрепить свои позиции на российском рынке антивирусных продуктов, особенно в госсекторе. Между тем даже в сложном 2009 г. бизнес компании идет достаточно успешно: уровень продаж в единицах продукции не падает, а потери связаны в основном с изменением валютных курсов. В компании ожидают волну миграции на сертифицированные решения, однако пока не ясно, как отреагирует рынок на нововведения в законодательстве.
Сам закон вызывает в отрасли многочисленные нарекания. Его воспринимают как очередную «дубинку для бизнеса», открывающую широкий простор для злоупотреблений со стороны различных проверяющих органов. Независимые эксперты отмечают, что нигде в мире нет столь жестких требований к защите информации, и на 1 января будущего года закону ФЗ №152 будет соответствовать не более 1% компаний, которых он касается. Согласно оценкам, чтобы оборудовать лишь одно рабочее место в соответствии с законодательными требованиями, потребуется примерно 70 тыс. рублей. По сообщению «Россвязькомнадзора», обработкой персональных данных в России занимается около 7 млн организаций.
Каждая компания, использующая сведения из банковских счетов, больничных листов, анкет сотрудников, должна обезопасить их по наивысшему классу информационных систем (K1). Сертификат ФСТЭК класса К1 распространяется на комплект Eset NOD32 Platinum Pack 4.0 (куда входят продукты Eset NOD32 и Eset NOD32 Smart Security для корпоративных пользователей), а также на ПО Eset для защиты файловых серверов под управлением Linux, BSD и Solaris. Любое обновление сертифицированного антивируса, исключая обновление базы данных сигнатур, автоматически превращает его в несертифицированный продукт, однако вряд ли проверки будут осуществляться на уровне сличения контрольных сумм и релизов. Скорее всего, владельцу будет достаточно предъявить сертифицированный инсталляционный комплект. Владельцы корпоративных лицензий на Eset NOD32 смогут приобрести у Eset специальный пакет за 2,5 тыс. рублей для перехода на сертифицированную версию.
Что касается возможного расширения функциональности существующих антивирусных решений для защиты персональных данных, то вряд ли она «дорастет» до уровня систем предотвращения утечек данных (DLP) — дорогостоящих решений совсем другого класса.