Войти в почту

Базовые проблемы сегмента ПАКов для КИИ

К сожалению, действующая нормативная база не дает ответов на эти вопросы. Документы написаны так, словно понятийная база доверенных ПАКов для КИИ уже сформирована. Но это совершенно не так. На сегодняшний день ни у разработчиков, ни у заказчиков, ни у регуляторов нет четкого единого понимания: что такое доверенный ПАК для КИИ.

Базовые проблемы сегмента ПАКов для КИИ
© It-world

Что касается программной части ПАКов, то под доверенным программным обеспечением зачастую подразумевается ПО, прошедшее сертификацию во ФСТЭК России и находящееся в едином реестре российского ПО. Но при этом за скобками остаются важнейшие вещи. Во-первых, происхождение решения (является ли программный продукт российской разработкой или клоном зарубежного). Во-вторых, способность и гарантии разработчика обеспечить длительный жизненный цикл продукта, что крайне важно именно для КИИ.

Для того чтобы создать единое понятийное поле, необходим национальный стандарт. Разработку документа «Инфраструктура информационная критическая. Программное обеспечение для доверенных программно-аппаратных комплексов. Общие положения» ведет рабочая группа Комитета 167 НПО КИС. Возглавляют группу специалисты АО «ИВК». В стандарте будут определены термины и определения, необходимые для взаимодействия участников рынка ПАКов для КИИ в едином понятийном поле.

Целью разработки стандарта является установление требований ко всем типам программного обеспечения в составе доверенных программно-аппаратных комплексов, применяемых в КИИ, с учетом обеспечения их технологической независимости, функциональной устойчивости и необходимого уровня доверия.

Стандарт определит:

общие подходы к обеспечению процесса разработки программных компонент ПАК для КИИ на базе технологически независимого отечественного репозитория исходного кода, программных пакетов и библиотек для доверенного ПО;  общие положения обеспечения полного жизненного цикла разработки и эксплуатации доверенного ПО на территории Российской Федерации и в российской юрисдикции при помощи распределенной инфраструктуры разработки ПО;  соответствие процессов разработки ПАКов положениям ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Это необходимо для обеспечения соответствия доверенных программных компонентов ПАК установленным законодательством РФ требованиям к безопасности КИИ и безопасности информации.

Другая острейшая проблема — отсутствие регулятора сферы ПАК для КИИ. Эта организация должна взять на себя миссию контроля исполнения нормативных документов. Сейчас, к сожалению, многие заказчики и разработчики ПАКов стремятся выйти из регуляторного поля, поскольку исполнение требований нормативных документов сопряжено с затратами и большой организационной работой. В частности, некоторые компании очень приблизительно трактуют требования по категорированию объектов критической информационной инфраструктуры в соответствии с положениями Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры России».

Доверенные ПАКи: отложенное настоящее

Еще одна серьезная проблема — отсутствие реестра доверенных ПАКов для КИИ. Сегодня у разработчиков ПАКов нет четкого ориентира, какие программные и аппаратные компоненты включить в ПАК, чтобы он соответствовал требованию доверенности. Необходимо создать реестр, который будет служить своего рода «конструктором» для формирования ПАК разного назначения. Помимо готовых программных продуктов, в него должны быть включены исходные тексты свободных программ, программных пакетов и библиотек. Отметим, что решение о включении в реестр программных компонентов для доверенных ПАКов будет приниматься на основании их соответствия национальному стандарту «Инфраструктура информационная критическая. Программное обеспечение для доверенных программно-аппаратных комплексов. Общие положения». Создание реестра — это огромная организационная работа. Необходимо решить вопросы с его размещением (в существующем или специально построенном ЦОДе), определить оператора этого ресурса и т. д.

Очевидно, что отрасли необходимо сконцентрировать силы и ресурсы на решении этих базовых задач. Без этого любые обсуждения частных аспектов разработки и применения ПАКов для КИИ преждевременны.