О порядке перехода объектов КИИ на доверенные ПАКи

До 25 августа продолжается общественное обсуждение проекта постановления Правительства, которым устанавливается порядок перехода объектов критической информационной инфраструктуры (КИИ) на доверенные программно-аппаратные комплексы.

Регулирование рынка оборудования и ПО для критической инфраструктуры согласовывают уже около двух лет. Указ Президента об обеспечении технологической независимости и безопасности КИИ несколько раз переносили, проект много раз переформулировали. Владельцы объектов КИИ всеми силами отбивались от необходимости менять зарубежные разработки на российские. Это могло растянуться еще на годы, но в феврале все гипотетические риски использования зарубежных разработок в КИИ стали реальными проблемами. В марте указ Президента был подписан в исходных формулировках – переводить объекты КИИ на российские, да еще и доверенные программно-аппаратные комплексы.

Сейчас главный вопрос – как определить доверенные системы. Проект постановления Правительства РФ, подготовленный Минпромторгом, на этот вопрос не отвечает. Как часто бывает, регуляторы спешат сначала согласовать бюрократические процедуры и прописать в них уполномоченные организации, которые будут распределять доступ к рынку. Для этого в проекте постановления задумано создание могущественного и загадочного НПО. Доверенные программно-аппаратных комплексы определены в постановлении Правительства двумя критериями – наличие составляющих в реестрах российской продукции и соответствие требованиям безопасности, утвержденным ФСТЭК и ФСБ. Т.е. доверие определяется не свойствами продукции, а двумя бюрократическими процедурами, одна из которых известна своей мутностью, а вторая не известна. Без уточнения свойств доверенных систем требования безопасности ФСТЭК и ФСБ могут остаться теми же самыми, по которым доступ к КИИ получали американские и прочие зарубежные вендоры.

Доверенные комплексы нужно определять не только свойствами продукции, которая их составляет, но и характеристиками процессов проектирования. Как минимум, проектирование схемотехники и ПО должно быть в России. Реестр российской продукции этого не гарантирует, там достаточно подтверждения прав на документацию, разработка может быть покупной зарубежной. Критерий доверия не может быть бинарным. В законе о КИИ предусмотрено три категории значимости объектов управления, значит и системы управления должны иметь, как минимум, три уровня доверенности. Для подтверждения высокого уровня доверия обязательным должно быть не только проектирование в России электронных модулей, но и микропроцессоров, на которых они основаны. Недоступность микропроцессоров не должно влиять на требование. В принципе нельзя требования безопасности подгонять под оценку имеющихся возможностей. Если требования на объектах КИИ не выполняются, это должно быть зафиксировано, как источники рисков. Полученная картина рисков является основой для планирования разработок и внедрений. Она же дает оценку результатов той политики, которая проводилась министерствами до сих пор.

Иван Покровский, исполнительный директор АРПЭ