Сертификационные гонки по вертикали

7 мин на чтение


Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


Современные смартфоны и планшеты со всё нарастающим успехом заменяют стационарные компьютеры и ноутбуки не только при использовании в личных целях, но и для решения бизнес-задач, а в последние годы - и в государственных структурах, в том числе и в нашей стране.

На том же сайте Госзакупок можно найти уже не только конкурсы на поставку iPhone в кожаных чехлах или отмененный (к счастью для бюджета) заказ на сувенирную продукцию «Планшетные компьютеры «iPad 3» и комплектующие», но и задания на интеграцию продукции компании Apple в самые различные государственные информационные системы.

Госзаказчик у нас, как известно, абы что покупать не станет, поэтому конкурсов с упоминанием конкурентов мобильным продуктам Apple на сайте Госзакупок меньше, значительно меньше. Вот, например, общее число всех заказов по состоянию на 13 ноября 2013 года:

К слову, давно не следил за сайтом http://zakupki.gov.ru и был приятно удивлён, что одна из описанных мною в Анатомии распила коррупционных уловок перестала работать: речь о подмене русских букв схожими латинскими и наоборот. “Android” и “Аndrоid” выдают при поиске одинаковый результат, хотя во втором варианте “А” и “о” русские.

Госзаказчикам, однако, помимо качества приобретаемого товара и его, скажем так, пафосности, часто важен и ещё один аспект - наличие на него сертификата. При этом частенько они сами не до конца понимают, что это такое и зачем им это нужно (“А у вас есть лицензия ФСТЭК на этот продукт?”), но при наличии соответствующего документа чувствуют себя спокойнее. Наверное, считают, что раз сертифицированное, то точно “не накажут”.

Спрос, как известно, рождает предложение и в реестре ФСТЭК можно найти сертифицированные решения на любой вкус и цвет, да вот только ничего сертифицированного под использование на мобильных платформах мне найти не удалось.

Причин тому, на мой взгляд, несколько, а точнее - три. Рассмотрим их подробнее.

Причина №1. Нераспространённость.

Создание, сертификация и поддержка в актуальном состоянии продукта - это затраты, которые надо хотя бы окупить. Когда имел прямое отношение к продажам такого глубоко бесполезного, на мой взгляд, класса решений как СЗИ от НСД (средство защиты информации от несанкционированного доступа), имел возможность лично убедиться, что запросы на этот тип продуктов для платформы Linux приходили хорошо, если пару раз за год. Кто под такой рынок будет делать продукт? Не знаю, если только тот, у кого высвободился лишний ресурс, который нечем занять, а переориентировать на другие задачи сложно? Недавно, к слову, на рынке появилось-таки СЗИ от НСД, но, право, решение под OS X было бы и то востребованнее, а то вон бедные сотрудники ФТС закупают iMac с сертифицированной Windows XP. Итак, мобильных устройств, видимо, пока всё же в госсекторе не так много, чтобы кардинально изменить картину рынка и простимулировать вендоров на выпуск специализированных сертифицированных решений в массовом порядке.

Причина №2. Технические сложности.

В продукции Apple, являющейся более популярной (как это продемонстрировано выше) среди российских чиновников, серьёзно ограничена свобода разработчика, ведь ему запрещено сильно вмешиваться в системные процессы. Впрочем, про закрытость iOS, вынуждающую разработчиков идти на jailbreak, уже говорил в посте Сертифицированные решения для iPad. Повторяться не буду, а предлагаю посмотреть на ещё один важный аспект - на частоту выхода новых операционных систем.

Причина №3. Частота обновления операционной системы (ОС).

Думаю, ни для кого не секрет, что процедура сертификации СЗИ строга и требовательна к тем средам (операционным системам), в которых функционирует это самое средство защиты информации. Строго говоря, для каждого из вариантов среды функционирования надо собирать отдельный стенд и проводить собственные испытания. В сопроводительной документации к сертифицированному СЗИ допустимые условия по возможным операционным системам (и иногда ещё аппаратным платформам) указываются в явном виде.

Поэтому, даже если сертифицированное СЗИ физически способно работать, например, в новой версии ОС, то де-факто всё равно использоваться не может, так как нарушены условия эксплуатации. Вот и получается, что поддержка обновлённой ОС для разработчика не только техническая задача (заставить работать), но и, если угодно, управленческая (вложить деньги в очередную сертификацию).

Посмотрим теперь на даты выхода операционных систем семейства Windows, для которых сертифицированных решений разработано предостаточно. Мы можем видеть, что средний период между выходом двух версий этой ОС (XP - Vista - 7 - 8) составляет чуть менее 4 лет, а мажорные обновления (считай, сервис-паки SP1/2/3) выходят примерно раз в полтора года.

Windows-releases

Процесс сертификации, даже если он уже выстроен годами и максимально отлажен, по веремени всё равно достаточно значителен. Так сложилось, что для Windows все регламенты и процедуры успевают быть отработанными за приемлемый рынком срок. Да, те же пресловутые СЗИ от НСД для Windows 8 появились далеко не сразу, но и сама эта ОС до сих самых пор пока не так уж и распространена.

Теперь посмотрим на жизненые циклы iOS:

iOS-releases

Даже опуская минорные (новая цифра после второй точки) обновления, получаем скорость выхода и самой версии и мажорных релизов в 4 раза выше, чем в случае с Windows. Сертифицировать что-либо, устаревающее уже через год, - занятие, поверьте, неблагодарное. К тому же, в отличие от Windows, подавляющее большинство пользователей переходит на новую ОС в первые же дни её выхода. Наверное, можно заставить чиновника использовать iOS 5 и сегодня, но, ИМХО, вся пафосность от использования iPhone для него сразу потеряется.

Пионеры сертификационных гонок.

Несмотря на описанные выше трудности, есть всё же два исключения из общих правил - это компании КриптоПро и Инфотекс. Оба разработчика получили на свои изделия сертификат ФСБ (но не ФСТЭК), КриптоПро - в марте 2013 на СКЗИ КриптоПро CSP версии 3.6.1, а Инфотекс - в сентябре 2012 на ПК ViPNet Client for iOS.

Вместе с тем, в качестве подтверждения моих рассуждений о разности в скорости сертификации и обновления мобильных операционных систем, можно лично убедиться (спасибо обеим компаниям за наличие документации в свободном доступе), что:

Никаких iOS 7, iPhone 5s и iPad Air, как мы видим, нет и в помине.

Закругляюсь

Помимо требующего обязательного jailbreak клиента для iOS Инфотекс ещё выпустил ViPNet Client for Android. Однако, как мы убедились, чиновники наши предпочитают другую платформу и, как мне представляется, самым реальным вариантом развития событий будет тот, который уже можно наблюдать на примере отдельных ситуаций: 30 шт. ViPNet Client iOS закуплены вот с такими условиями: “Программный сервис устанавливается на планшетные компьютеры Apple iPad 4, функционирующие под управлением iOS6 версии не выше 6.1.2.

Формально поставленный продукт не удовлетворяет требованиям, но ни заказчика Министерство информационных технологий и связи Ростовской области, ни победителя ГАУ РО РЦИС - это, похоже, не волнует.

Допускаю, впрочем, что на сайте Инфотекс устаревшая документация и с сертификацией под iOS 6.1.2 и iPad 4 всё в порядке. Или, быть может, кто-то просто ошибся, указав в конкурсной документации не ту iOS и не то поколение iPad.

В конце концов, тому, кто устанавливает правила, можно играть так, как угодно лично ему. Остальным остаётся лишь подстраиваться или выбывать из игры.

--- === @zlonov === ---

--- === @zlonov === ---

Комментарии из Telegram


Комментарии ВКонтакте