Новая методика ФСТЭК по выявлению уязвимостей в ПО
Федеральная служба по техническому и экспортному контролю (ФСТЭК) официально утвердила новую методику выявления уязвимостей и недекларированных возможностей в программном обеспечении. По данным D-Russia.ru, эта инициатива направлена на повышение уровня информационной безопасности при сертификации программного обеспечения и технических решений, используемых для защиты данных.
Что произошло
Методика разработана для проведения исследований как испытательными лабораториями, так и самими производителями программного обеспечения. Она будет применяться в следующих случаях:
- Сертификация новых программных продуктов;
- Изменения в уже сертифицированное программное обеспечение;
- Оценка защищённости существующих систем.
Документ содержит рекомендации по проведению анализа кода, тестированию функционала и проверке наличия скрытых функций, которые могут представлять угрозу безопасности. Это особенно актуально для организаций, работающих с персональными данными граждан России, поскольку такие компании обязаны соблюдать требования законодательства о защите персональных данных (в частности, Федеральный закон №152-ФЗ), а также учитывать необходимость использования отечественного программного обеспечения согласно требованиям Минцифры.
Почему это важно
Для российского ритейла и малого бизнеса внедрение новой методики имеет несколько ключевых аспектов:
- Повышение доверия к используемым решениям за счёт более строгого контроля качества и безопасности ПО;
- Минимизация рисков утечек конфиденциальной информации через использование недостаточно проверенных инструментов;
- Соответствие нормативным актам Российской Федерации, включая ФЗ-152 и другие документы, регулирующие защиту информации.
Особенно значимо это для тех предприятий, которые используют мобильные устройства на базе Android в своей работе. Например, многие российские ритейлеры применяют планшеты и смартфоны для работы кассиров, мерчандайзеров и других сотрудников. Использование таких устройств требует особого внимания к вопросам безопасности, так как они часто подключаются к корпоративным сетям и обрабатывают чувствительные данные клиентов.
Кроме того, новая методика может повлиять на выбор мобильных операционных систем. Отечественная мобильная платформа Aurora OS, например, позиционируется как безопасное решение, соответствующее всем российским стандартам. Однако даже она должна пройти проверку по новым правилам ФСТЭК перед использованием в критически важных инфраструктурах.
Что делать
Ритейл-компаниям и другим организациям следует предпринять следующие действия:
- Провести аудит текущего парка мобильных устройств и убедиться, что все используемые приложения соответствуют новым требованиям ФСТЭК;
- Обновить внутренние регламенты и процедуры проверки безопасности приложений до соответствия новой методике;
- Регулярно проверять обновления операционной системы Android и устанавливать их своевременно, чтобы минимизировать возможные угрозы;
- Рассмотреть возможность перехода на отечественную платформу Aurora OS, которая изначально разрабатывалась с учётом требований российской регуляторики (подробнее см.:
/docs/aurora); - Настроить систему управления устройствами (MDM) таким образом, чтобы обеспечить централизованное управление политиками безопасности всех корпоративных гаджетов (см. раздел документации
/docs/policies); - Убедиться, что политика безопасности включает запрет установки сторонних приложений вне официальных магазинов Google Play и Aurora Store.
Эти меры помогут компаниям избежать штрафов и санкций за нарушение правил обработки персональных данных, а также защитят бизнес от возможных кибератак и утечек информации.
---
Источник: [D-Russia.ru](https://d-russia.ru/fstek-utverdila-metodiku-vyyavleniya-uyazvimostey-i-nedeklarirovannyh-vozmozhnostey-v-po.html)