Войти в почту

Доверенные ПАКи: отложенное настоящее

Участники панельной дискуссии «Стратегия развития доверенных программно-аппаратных комплексов для критической информационной инфраструктуры» Международного технологического конгресса уверены: пока эти факторы не будут устранены, серьезно продвинуться не получится, а значит, безопасность КИИ останется под угрозой.

Доверенные ПАКи: отложенное настоящее
© It-world

На днях жизнь перевела проблему доверенных ПАК из теоретической плоскости в исключительно практическую, показав не абстрактные размышления про возможность «окирпичивания» техники, а самую что ни на есть реальную опасность. Катастрофические события с масштабными взрывами пейджеров в Ливане доказали, насколько уязвимыми могут быть даже такие простые устройства, в защищенности которых люди были уверены. Если оборудование и установленный на нем софт не являются «доверенными», то под угрозой оказывается очень многое – жизнь и здоровье человека, работоспособность отдельного предприятия, критическая для целой страны и ее населения инфраструктура.

На уровне терминов

Первая сложность возникает уже на уровне определений. Как заметил Алексей МЕЛЬНИКОВ, управляющий партнёр ИТ-холдинга Fplus, на данный момент даже сами субъекты КИИ не знают, какие сегменты инфраструктуры и процессы должны подпадать под действие требований в отношении доверенных ПАКов. Такое встречается даже внутри одной и той же отрасли. Эксперт привел в пример банковскую отрасль, где один из крупных игроков подал регулятору сведения о 13 процессах, другой – обо всех, а третий – ни об одном. Доверенные ПАКи: отложенное настоящее. Рис. 1

«Доверенный ПАК – это российское «железо», российский СУБД и операционная система, российские же средства защиты. При этом комплекс должен решать задачи конкретного отечественного заказчика или отрасли. А если со стороны самого заказчика нет понимания, для каких процессов нужны ПАК, какие именно и в каком объеме, то и производители без такого перечня не могут спланировать свои закупки, загрузку производственных мощностей и другие задачи. К тому же внедрение ПАК – это всегда более сложный проект, чем внедрение отдельного оборудования и уж тем более, чем развертывание стандартного софта из коробки. Пока мы не видим готовности реальных заказчиков активно идти в этом направлении и нет воли регулятора заставить всех это делать, а без этого двигаться вперед мы не сможем», – убежден Алексей Мельников. Доверенные ПАКи: отложенное настоящее. Рис. 2

Анна КУЛАШОВА, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ, согласилась, что эта проблема достаточно серьезна: «В соответствии со 187 ФЗ категорирование на принадлежность к тем или иным классам критической инфраструктуры определят каждое предприятие самостоятельно – для нас это заказчик. Опыт показывает, что разные компании подходят к этому вопросу с разной степенью ответственности. Есть «национальные чемпионы», часто это представители промышленности и транспортной отрасли, они очень серьёзно к этому подошли. Но таких мало. Поэтому и приходится ждать доработок со стороны регулятора».

20 кругов испытаний

И все же только воли «верхов» недостаточно. Важным фактором, по мнению участников дискуссии, является и вовлечение заказчиков в обсуждение проблематики использования доверенных ПАКов. Доверенные ПАКи: отложенное настоящее. Рис. 3

Алексей БЕЛОГОРЦЕВ, генеральный директор OpenYard, напомнил, что у нас есть 5-6 операционных систем, порядка 10 систем виртуализации, более 20 производителей серверов – а по некоторым оценкам и более 40 – и так далее. «Проходить на каждую комбинацию из возможных требуемые регулятором процедуры – довольно трудоемко, долго и дорого. При этом мы не понимаем, в таком масштабе все это нужно рынку. К тому же появление 80 с лишним производителей ПАК вряд ли позитивно скажется на конкуренции и облегчит клиентам выбор. Хотя, конечно, для ИТ-отрасли это очень большой стимул, потому что есть некоторые преференции, которые дают для производителей программно-аппаратных комплексов. Да и для конечных заказчиков доверенные ПАК – это уверенность в том, что в этом решении все будет точно работать, все оттестировано и отполировано», – отметил Алексей Белогорцев. Доверенные ПАКи: отложенное настоящее. Рис. 4

Светлана ЛЕГОСТАЕВА, генеральный директор консорциума «Вычислительная техника» (АНО «ВТ»), подчеркнула, эффективность обсуждения перспектив развития доверенных ПАК совместно с заказчиками, оказывающими важное воздействие на разрабатываемые решения. «Я ещё не видела ни одного заказчика, который бы объявил тендер и просто купил российскую вычислительную технику. Как правило, заказчики ведут достаточно серьёзную работу по тестированию оборудования, внося коррективы с точки зрения требований», – убеждает Светлана Легостаева.

Больше реестров

Эксперты уверены, что регулятор может и должен помогать, а каким образом – уже другой вопрос. Вариантов множество. Некоторые из них уже работают, другие – в процессе подготовки, а третьи было бы неплохо запустить, перед этим определившись с правилами игры. Доверенные ПАКи: отложенное настоящее. Рис. 5

Михаил ТОЛПЫШКИН, исполнительный директор «РЕД СОФТ», считает, что, опираясь на текущую нормативно-правовую базу для доверенных ПАК, заказчики несут ответственность в части принятия решений, является закупаемый ПАК доверенным или нет. При этом остается возможность приобретать по отдельности оборудование и программное обеспечение, если, конечно, не будет других указаний регуляторов. «Возможно, нам не хватает реестра доверенных ПАК – если он будет, заказчикам будет проще принимать решения. Кто должен его вести, как будут формироваться требования к доверенным программно-аппаратным комплексам – на эти вопросы необходимо как можно быстрее получить ответы от регуляторов», – отметил Михаил Толпышкин. Доверенные ПАКи: отложенное настоящее. Рис. 6

«Пользователю нужна не какая-то отдельная операционная система – ему нужен прикладной функционал, а значит, остро стоит вопрос совместимости ОС не только с отечественным железом, но и с отечественным софтом. И решаться этот вопрос может и должен на уровне регулирования. Мы, к примеру, ждем осенью выхода изменений в постановление 1236* по реестру, где появятся требования совместимости прикладного программного обеспечения с отечественными операционными системами. Требования вводиться будут, видимо, постепенно для разных классов решений в течение двух лет, но это довольно серьёзные изменения. Дальше будут выпущены дополнительные требования к программному обеспечению, не влияющие на попадание в реестр, но дающие однозначное преимущество на рынке: если какой-то продукт соответствует требованиям, то несоответствующие им должны будут сниматься с конкурса. И одним из требований будет совместимость с отечественным процессором – это очень значимо для рынка», – рассказал Алексей СМИРНОВ, председатель совета директоров BaseAlt.

В заключение представители ИТ-индустрии посетовали на то, что в последнее время регуляторы не так полно, как хотелось бы, участвуют в обсуждении болей и потребностей, связанных с тематикой доверенных ПАК. Хотя именно прямой разговор мог бы принести пользу и положительно сказаться и на доработке нормативных актов, и на скорости перехода субъектов КИИ на доверенные ПАКи.

*Постановление Правительства РФ от 16 ноября 2015 г. № 1236 “Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд”