Наступающий 2025 год страна должна была встретить с критической информационной инфраструктурой (КИИ), полностью оснащенной российским ПО. Но планы сорваны, огромное число объектов КИИ продолжает работать на зарубежных программных продуктах и оборудовании, подвергаясь серьезным рискам. Самое время разобраться: что помешало реализации планов и как ускорить переход?
Среди объективных факторов — недостаточная развитость экосистемы совместимого российского ПО и оборудования, произведенного из отечественной ЭКБ (электронной компонентной базы). В Едином реестре российского ПО Минцифры на сегодняшний день зарегистрировано порядка 40 операционных систем и около тридцати тысяч прикладных программных продуктов. В реестр радиоэлектронной продукции (РЭП) Минпромторга РФ внесено около 18 тысяч различных изделий. Владельцам КИИ необходимо выбрать из этого многообразия ПО и оборудование разных классов, обеспечить их совместимость между собой и заручиться гарантией разработчиков о поддержке по мере выпуска новых версий продуктов.
Интеграция «софта» и «железа» — процесс сложный, трудоемкий и затратный. И достаточно долгий, если учесть, что замене подлежат сотни программных продуктов и единиц оборудования, работающих в составе КИИ организаций. На этой почве поднялась и активно развивается тема доверенных программно-аппаратных комплексов (дПАК).
Что такое доверенный ПАК?
Дискуссия о необходимости доверенных ПАКов, к сожалению, началась с середины: каждый из участников видит доверенный ПАК по-своему, и эти видения не всегда совпадают. Единого понимания доверенного ПАКа для КИИ на сегодняшний день нет ни у разработчиков, ни у заказчиков, ни у регуляторов. Не дает ответа и существующая нормативная база: все документы написаны так, словно понятийная база уже существует. Так, например, доверенным программным обеспечением называют продукты, которые прошли сертификацию регуляторов или включены в Единый реестр российского ПО. Оборудованием, которое может войти в состав доверенного ПАК, должно быть представлено в РЭП (Едином реестре российской радиоэлектронной продукции), и считается, что этого достаточно…
Но является ли каждый из таких программных продуктов действительно российской разработкой? Не секрет, что среди реестрового и сертифицированного софта немало клонов зарубежных продуктов, и доступ российских разработчиков к «материнским» дистрибутивам продолжает схлопываться. Кроме того, нигде четко не фиксируются способность и гарантии разработчиков обеспечить длительный жизненный цикл продуктов – как программных, так и аппаратных, в особенности в составе доверенного ПАК.
Нужен государственный стандарт доверенных ПАКов для КИИ
За исправление ситуации с отсутствием единого понятийного поля взялись участники рабочих групп Комитета 167, созданного НПО «КИС». Группы ведут разработку серии государственных стандартов «Инфраструктура информационная критическая». В стандартах будут определены термины и определения, общие положения и требования, необходимые для взаимодействия участников рынка ПАКов для КИИ в едином понятийном поле. Участвуют в этой работе и специалисты АО «ИВК».
Часть стандартов установит требования ко всем типам программного обеспечения в составе доверенных программно-аппаратных комплексов, применяемых в КИИ, с учетом обеспечения их технологической независимости, функциональной устойчивости и необходимого уровня доверия. Согласно проектам документов группы, занимающейся ПО для ПАК, стандарты должны определять:
- общие подходы к обеспечению процесса разработки программных компонент ПАК для КИИ на базе технологически независимого отечественного репозитория исходного кода, программных пакетов и библиотек для доверенного ПО;
- общие положения обеспечения полного жизненного цикла разработки и эксплуатации доверенного ПО на территории Российской Федерации и в российской юрисдикции при помощи распределенной инфраструктуры разработки ПО;
- соответствие процессов разработки ПАКов положениям ГОСТа Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Это необходимо для обеспечения соответствия доверенных программных компонентов ПАК установленным законодательством РФ требованиям к безопасности КИИ и безопасности информации.
Участники группы поднимают вопрос о необходимости регулятора сферы доверенных ПАК для КИИ, который должен вести работу не только по категорированию объектов критической информационной инфраструктуры в соответствии с положениями Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры России», но и соответствию уровня доверия предлагаемых для КИИ ПАКов.
Нужен реестр доверенных ПАКов для КИИ
Заказчикам необходима консолидированная информация о ПАКах, соответствующих критериям доверенности, технологической независимости и функциональной устойчивости. Ее источником может и должен стать Единый реестр доверенных ПАКов для КИИ. Основанием для включения ПАКа в реестр будет служить прохождение экспертизы на его соответствие серии национальных стандартов «Инфраструктура информационная критическая». Есть необходимость приступить к решению вопросов о его размещении, определить оператора этого ресурса и др.
Итоги подведем накануне 2026 года
Создание серии государственных стандартов для доверенных ПАКов и их Единого реестра — это базовые задачи, решить которые необходимо в кратчайшие сроки. Если они будут решены, то канун 2026 годы мы встретим с более оптимистичным итогом перевода КИИ на отечественные решения.