Сертифицировать нельзя аттестовать

    Недавнее информационное письмо ФСТЭК о возможности продления сертификации эксплуатируемых СЗИ породило классический вопрос - сертифицировать нельзя, аттестовать?

    Вобщем-то письмо делает продление сроков действия сертификатов сертифанацией (от "сертификация" и "профанация") - ведь в процессе аудита в целом нельзя дать гарантию что целевую степень защиты обеспечило именно СЗИ а не встроенные механизмы ОС или временное отсутствие соответствующих инцидентов, но.. текущий процесс сертификации имеет понятные большие проблемы с точки зрения экономической эффективности:

• сертификация средства защиты "в вакууме" имеет мало смысла, так как эффективность средства защиты проявляет себя только в реальной среде. Можно сколько угодно тестировать в испытательной лаборатории МСЭ, но пылящийся на полке или некорректно внедренный сертифицированный МСЭ бесполезен.
• за последние лет 20 накоплен большой парк западных сертифицированных СЗИ, в т.ч. в национальных чемпионах, попавших под пресс санкций ЕС и США. Продать им снова сертифицированные СЗИ от того же производителя будет проблематично и в таких условиях некоторое облегчение нормативных требований ФСТЭК можно только приветствовать.

    Таким образом изменения пойдут на пользу клиентам, а так же исходя из новой концепции по аттестации, аттестаторам, пентестерам и аудиторам. Проблемы будут только у испытательных лабораторий (потеряют часть бизнеса).
    Кстати, новые изменения могут быть и разменной монетой в большой "подковерной" игре между регулятором, испытательными лабораториями, лицензиатами, органами по аттестации и клиентами. Например, лицензиаты и органы по аттестации на основе этого письма получают новый источник дохода и обязуются на эти деньги переподготовить специалистов для проведения аттестаций в новой парадигме.