Исхитрись-ка мне добыть
То-Чаво-Не-Может-Быть!
Запиши себе названье,
Чтобы в спешке не забыть!
Так что неча губы дуть,
А давай скорее в путь!
Государственное дело —
Ты ухватываешь суть?
«Про Федота-стрельца, удалого молодца», Л. Филатов
Справедливости ради отметим: государственного стандарта по доверенным программно-аппаратным комплексам (ДПАКам) еще нет. Но он уже разрабатывается — и не один документ, а целая серия соответствующих стандартов «Критическая информационная инфраструктура», касающихся и аппаратной, и программной частей ДПАК. Подготовку ведут рабочие группы Технического комитета по стандартизации 167, созданного НПО «КИС». В стандартах будут зафиксированы общие положения и требования, необходимые для взаимодействия участников рынка доверенных ПАКов для КИИ в едином понятийном поле, термины и определения, требования к технологической независимости и функциональной устойчивости ПАКов, требования к ЭКБ, требования к репозиторию, на основе которого создается ПО для доверенных ПАКов и др.
Однако пока эта базовая работа не завершена, Госкорпорация «Росатом» запустила и активно продвигает новую процедуру – добровольную сертификацию доверенных ПАКов для КИИ. В рамках госкорпорации создана структура под названием «КИИ-СЕРТ», которой «Росатом» делегировал право сертифицировать ПАКи на предмет их технологической независимости и функциональной устойчивости. На ее основе предполагается развернуть распределенную СОС ДПП – систему оценки соответствия доверенной продукции и процессов на базе органов по сертификации, аккредитованных в национальной системе аккредитации и уполномоченных (нотифицированных) в СОС ДПП.
В «Правилах функционирования системы добровольной сертификации доверенной продукции и процессов «КИИ-СЕРТ»», размещенных на сайте системы, основными целями декларируются:
- подтверждение соответствия объектов требованиям для применения на объектах критической информационной инфраструктуры;
- …
- отнесение объектов сертификации к доверенным, обеспечивающим технологическую независимость и устойчивость критической информационной инфраструктуры.
Какие же требования будут предъявляться к ПАКам для их сертификации по статусу доверенных? На каком основании будет приниматься решение о том, годится или не годится ПАК применению на объектах КИИ? На какие стандарты и руководящие документы будут опираться эксперты, если работа над федеральными стандартами еще не завершена? Как отразится добровольная сертификация в «КИИ-СЕРТ» на участии изделий в конкурсах госзакупок? Почему в качестве экспертов для сертификации ПАКов для КИИ всех отраслей выступают только сотрудники организаций, подведомственных Госкорпорации «Росатом» («Гринатом простые решения», «Росатом автоматизированные системы управления», «Атомэнергопроект»)? На эти вопросы «КИИ-СЕРТ» не дает ответов. Полномочия этой структуры не обнародованы.
А судьи кто?
Без ответа остается и вопрос о том, как будут организованы процедуры проверки отобранных образцов изделий в рамках добровольной сертификации. Флагманы российской экономики – например, ПАО «Россети», — практикуют так называемые отраслевые проверки оборудования, которое предполагается к закупке. Изделия проверяют на функциональную устойчивость в соответствии с отраслевыми стандартами. Разработчики предоставляют заказчику свои изделия в опытную эксплуатацию, на объекте заказчика ПАК подключается к реальной ИТ-инфраструктуре, к проверкам подключаются отраслевые НИИ и другие структуры. Тестирование может длиться довольно долго – полгода, год. Если оно прошло успешно, выписывается сертификат, удостоверяющий, что изделие может применяться на объектах «Россетей».
Логично предположить, что и процедура добровольной сертификации ДПАК в рамках СОСО ДПП потребует аналогичной проверки. Но каким образом «КИИ-СЕРТ» создаст различные критические инфраструктуры для ее проведения? Или «КИИ-СЕРТ» будет вправе установить ДПАК для опытной эксплуатации на объектах других отраслей – у нефтяников, газовиков, химиков, металлургов и др. На каком основании? Почему, согласно «Правилам функционирования системы добровольной сертификации доверенной продукции и процессов «КИИ-СЕРТ»», тестировать изделие на этих объектах будут эксперты подведомственных организаций «Росатома», а не специалисты профильных организаций соответствующих отраслей, знающих специфику своих производств? Регламент этой процедуры также не обнародован и не разъяснен.
Зачем вообще нужна такая сертификация?
И, наконец, главный вопрос: а в чем смысл добровольной сертификации? Да и добровольной ли? Какие преференции получат разработчики, чьи изделия успешно пройдут процедуру? Какие преимущества получат заказчики, которые включат сертифицированные ДПАКи в свою инфраструктуру? Чем рискуют те, кто не сертифицировал свои изделия и те, кто ими пользуется? Увы, ответов на эти вопросы тоже нет.
Крайне важно, чтобы предлагаемые сертификационные испытания выполнялись с учетом требований стандартов и руководящих документов СОС ДПП, регламентирующих сферу доверенных программно-аппаратных комплексов. Эксперты группы Технического комитета по стандартизации 167 планируют выпустить серию государственных стандартов только в 2026 году. Да, необходимо подождать также выхода руководящих документов: такая базовая работа требует времени. Но сертифицировать изделия в их отсутствии – совершенно преждевременно и нерационально.
Не сертификат, а запись в реестре
Можно предположить, что система добровольной сертификации призвана сформировать пул доверенных ПАКов, чтобы заказчикам облегчить процедуру их поиска и приобретения, а разработчикам и поставщикам упростить выход на рынок потенциальных клиентов. В этом есть рациональное зерно. Но для решения задачи намного лучше подойдет не сертификация, а реестр доверенных ПАКов. Тем более, что основа для его создания уже имеется, функционирует несколько реестров — промышленной продукции, радиоэлектронной продукции, российского ПО, реестр ПАКов, наконец. Опыт имеется, реестры уже выполняют свои функции. Возможно, создание реестра ДПАК является лишь формированием КИИ-дополнения к одному из них? Не будет ли предлагаемая процедура сертификации избыточной и повторяющей уже проведенные испытания и проверки в рамках других реестров?
Для формирования реестра ДПАК необходимо создать максимально широкий классификатор ДПАК, и на его основании вести реестр, насыщать его готовыми изделиями с подробными техническими описаниями, с актами приёмки конкретных организаций и предприятий, которые провели, например, отраслевые проверки изделия, чтобы заказчики могли узнать, на каких объектах работает тот или иной ДПАК и получить у владельцев развернутую информацию.
