Новостное агентство ТАСС сообщило [1], что «председатель правления Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» Наталья Касперская и исполнительный директор Ассоциации российских разработчиков и производителей электроники (АРПЭ) Иван Покровский направили в адрес Президента России Владимира Путина письмо (имеется в распоряжении ТАСС), в котором выразили обеспокоенность возможным переносом сроков перехода объектов критической информационной инфраструктуры (КИИ) на российское программное обеспечение (ПО) и оборудование.
Далее сообщается следующее: осенью Минцифры РФ внесло изменения в проект Указа Президента РФ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры». Давайте разберемся: «осенью…» – проект указа был опубликован в мае этого года, и все сроки его общественного обсуждения давно прошли. Причем один из сроков в его тексте – 1 сентября 2020 г., но Президент до сих пор его так и не утвердил. Далее: «Минцифры РФ внесло изменения в проект Указа Президента РФ…». Какое из министерств имеет право вносить изменения в Указ Президента? Да, конечно, сам проект Указа был разработан Минцифры, но по поручению Президента, и только ему дано право корректировать данный документ, а Минцифры может только рекомендовать. То есть правильнее было бы написать: «Минцифры рекомендовало перенести сроки вступления Указа в силу…». Впрочем, раз Указ официально не опубликован, то он и не вступил в силу.
В комплекте документов, поданных на утверждение, есть еще проект постановления Правительства РФ и требования к программному обеспечению и оборудованию. Набор документов был разработан для реализации Поручения Президента №Пр-1180 от 2 июля 2019 г. в целях обеспечения технологической независимости КИИ. Тут следует отметить, что безопасностью КИИ у нас занимается другое ведомство – ФСТЭК. И оно придерживается другой стратегии импортовытеснения – сертификации по уровням доверия. Ранее для этого использовался приказ ФСТЭК №131 от 30 июля 2018 г. «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий». Однако 2 июня 2020 г. был принят другой приказ ФСТЭК России – №76, который изменил правила оценки соответствия и для КИИ. Правда, в силу они вступают с 1 января 2021 г. В них среди прочего есть и требование по включению аппаратной платформы в единый реестр российской радиоэлектронной продукции, который поддерживается Минпромторгом. Именно эти пункты правил вступают в действие с задержкой. В частности, до 1 января 2022 г. отложена реализация требования о включении аппаратной платформы в реестр Минпромторга, а до 1 января 2028 г. – по включению в тот же реестр процессоров и контроллеров аппаратной платформы. Таким образом, доверенным должно быть не столько программное обеспечение, сколько аппаратная платформа.
Если кто-то считает, что эти требования относятся только с средствам защиты и могут быть игнорированы для операционных систем, баз данных или АСУ ТП, то, скорее всего, они не правы. Дело в том, что с точки зрения ФСТЭК все элементы объекта КИИ должны быть защищены, т. е. иметь как минимум контроль доступа, а это уже средство обеспечения безопасности. Во всех современных операционных системах, базах данных и АСУ ТП есть контроль доступа, что делает их в глазах ФСТЭК средствами защиты объекта КИИ. Именно это и есть реальное требование по импортозамещению, а не документы, предлагаемые Минцифры. Следует отметить, что в новой версии приказа ФСТЭК по уровням доверия нет ссылки на реестр отечественного программного обеспечения, который ведет Минцифры, т. е. требования к ПО для КИИ уже можно считать не существенными, в отличие от требований к аппаратной платформе.
В целом можно отметить, что о приоритетном использовании отечественных продуктов для построения объектов КИИ можно забыть. Судя по тому, что указ так и не был утвержден, Президента такой способ вытеснения импортных решений из критической инфраструктуры не устраивает. А вот предложенный ФСТЭК метод одобрен – использование только российского аппаратного обеспечения, с одновременным предъявлением к программному обеспечению требований по реализации ГОСТа по безопасной разработке программного обеспечения. Поэтому внесет Минцифры изменения в проект указа или нет – уже не важно. К 2022 г. все объекты КИИ должны работать на российской аппаратной платформе. И это требование уже существует.
https://tass.ru/ekonomika/10051345
