Ставка на доверенных. Росатом разработал стандарт для классификации программно-аппаратных комплексов

Российское оборудование плюс российское ПО

Технический комитет по стандартизации 167 Росстандарта разработал проект стандарта, который вводит классификацию доверенных программно-аппаратных комплексов (ДПАК) для критической информационной инфраструктуры (КИИ). Согласно документу от 21 ноября (есть в распоряжении Mashnews), проект стандарта делит ДПАК на два типа:

• ДПАК общего применения — их характеристики не зависят от того, где они используются.

• ДПАК отраслевого применения — их характеристики зависят от конкретной сферы использования.

В документе указано, что классификация ДПАК нужна для помощи организациям, работающим в критически важных сферах, перейти на использование доверенных программно-аппаратных комплексов. Это также поможет составить прогноз по производству таких комплексов в России на текущий год и два следующих.

Доверенные ПАК должны состоять из российских оборудования и программного обеспечения, зарегистрированных в реестрах Минцифры и Минпромторга. Эти комплексы применяются в промышленности, медицине, телекоммуникациях, финансах и т.д. Критическая инфраструктура включает объекты и услуги, жизненно важные для общества и экономики, повреждение или уничтожение которых может вызвать серьезные проблемы для безопасности страны и здоровья людей.

Согласно правительственному постановлению от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» к 2030 году все организации, работающие с критической инфраструктурой, должны перейти на доверенные программно-аппаратные комплексы. С сентября 2024-го им запрещено покупать иностранные разработки в этой области.

СПРАВКА MASHNEWS

• В технический комитете по стандартизации 167 входят 20 участников, в том числе структура Росатома НПО КИС, ФГБУ «ВНИИ Радиоэлектроники», ФГБУ ВО «МИРЭА, НИЯУ «МИФИ», ФГБУ «46 ЦНИИ Минобороны России», разработчики и производители электронного оборудования и электронной компонентной базы (ПК «Аквариус», «Крафтвэй корпорэйшн ПЛС»), разработчики систем защиты от киберугроз (АО «Лаборатория Касперского», АО «ИнфоТеКС» и другие).

Зачем нужна классификация доверенных ПАК

Новый стандарт поможет упростить требования к программно-аппаратным комплексам (ПАК) для критической инфраструктуры, пояснил Mashnews представитель НПО КИС. По его словам, это должно ускорить процесс перехода организаций на доверенные ПАК и улучшить прогнозы по их производству в России.

По словам источника Mashnews в одной из госкорпораций, НПО КИС отвечает за создание прогноза производства доверенных ПАК. Он пояснил, что новый стандарт позволит сделать требования обязательными, а не просто рекомендованными. Организации, работающие с критической инфраструктурой, должны до конца 2024 года подготовить планы перехода на российские решения, указав, сколько и каких ПАК они используют.

Доверенные ПАК отличаются от недоверенных тем, что должны пройти сертификацию ФСТЭК или ФСБ. По словам Василия Демидова из ГК DатаРу, новый стандарт вводит дополнительные категории для разных задач, таких как виртуализация, искусственный интеллект и информационная безопасность. В реестре Минцифры сейчас зарегистрировано 403 активных ПАК, а в реестре Минпромторга их немного меньше, пояснил Демидов.

Появление классификации доверенных программно-аппаратных комплексов (ДПАК) важно для определения требований к ним в разных отраслях, рассказал Mashnews генеральный директор компании «Скала^р» Виктор Урусов. «Стандарт – это как соглашение, которое поможет всем понять, каким должен быть ДПАК», – пояснил он.

Если говорить об атомной отрасли, этот документ имеет большое значение, поскольку практически все ее аспекты связаны с критической информационной инфраструктурой (КИИ), а классификатор ДПАКов служит им необходимым рабочим справочником, пояснил исполнительный директор производителя общесистемного и прикладного ПО ALMI Partner Дмитрий Паршин. В то же время, по его словам, доля оборудования в КИИ крайне мала по сравнению с программными автоматизированными комплексами (ПАК), используемыми в экономике России.

Введение классификации поможет устранить разногласия между производителями и заказчиками, которые сейчас лежат как в понятийной, так и в юридической плоскости, говорит руководитель управления нормирования и стандартизации производителя электроники Fplus Артур Керефов. Важно договориться о том, что именно означает термин «доверенный программно-аппаратный комплекс», какие функции он должен выполнять и какие системы к нему относятся, пояснил эксперт.

«Доверенный» ПАК – это комплекс, который зарегистрирован и соответствует требованиям по локализации программного обеспечения и использованию отечественных электронных компонентов, пояснил Керефов. «Критически важные объекты должны активно переходить на российское оборудование и софт. Каждый год регуляторы, например, Центральный банк в финансовой сфере, будут отслеживать, насколько успешно проходит этот переход и какие элементы пока невозможно заменить. Это поможет сосредоточить усилия на импортозамещении тех компонентов, которые все еще зависят от иностранных поставок», - заключил Керефов.

Что изменится для ПАК, не прошедших сертификацию

ПАК, которые не прошли сертификацию и не имеют допуска, не смогут быть признаны доверенными и использованы в объектах критической информационной инфраструктуры, говорит Дмитрий Паршин.

«Следует задать вопрос, найдет ли достаточное количество производителей ПАК экономический смысл в том, чтобы производить более дорогие доверенные комплексы на специализированных платформах и проходить дорогостоящие процедуры сертификации. Вероятно, в условиях ограниченности рынка и экономических факторов, производство ДПАК будет осуществляться выборочно, в зависимости от предварительных договоренностей в контексте отраслевой или министерской принадлежности», - считает собеседник Mashnews.

Виктор Урусов отметил, что производители ПАК, которые не соответствуют стандартам доверенности, могут столкнуться с резким снижением продаж и прекращением использования своих продуктов в критически важных областях. Новый стандарт, по его мнению, поможет составить прогноз по производству ДПАК в России на текущий и два следующих года. В первом квартале 2025 года Минпромторг и другие ведомства планируют провести проверку, чтобы выяснить, насколько ИТ-инфраструктуры не соответствует требованиям доверенных ПАК.

Артур Керефов считает, что в после 2030 года требование по использованию доверенных ПАК будет актуальным в целом в любом коммерческом секторе. «Потенциально ПАК без критериев доверенности не исчезнет как вид, но будет менее привлекательным продуктом как для производителя, так и для потребителя», - пояснил собеседник Mashnews.

Установление стандартов для оборудования и программного обеспечения — важный шаг для развития технологий в критической инфраструктуре, считает первый вице-президент ГК «Аквариус» Дмитрий Титов. Он отметил, что по закону для таких объектов нужны специальные меры защиты информации, включая требования к программно-аппаратным комплексам. «В будущем только доверенные ПАКи смогут использоваться на объектах критической инфраструктуры, а недоверенные будут применяться в других сферах. Количество доверенных ПАКов и их преимущества будут зависеть от конкретной области. Поскольку новые стандарты потребуют значительных затрат, важно привлечь к обсуждению разных участников», - заключил эксперт.

Автор: Екатерина Солнцева

Источник: https://mashnews.ru/stavka-na-doverennyix.-rosatom-razrabotal-standart-dlya-klassifikaczii-programmno-apparatnyix-kompleksov.html