В начале июня в качестве делегата посетил конференцию ЦИПР 2023 «Цифровая индустрия промышленной России», где успел побывать на сессиях по импортозамещению, информационной безопасности. Вопросам безопасности критической информационной инфраструктуры на ЦИПР было посвящено две сессии. Здесь коротко напишу про момент, связанный как с ИБ, безопасностью в широком смысле слова, так и с импортозамещением, — про доверенный ПАК.
Рассмотрим две составляющих – доверие и ПАК.
Никогда раньше не задавался вопросом, что ПАК — программно-аппаратный комплекс — возможно понимать настолько по-разному, как говорил ряд выступающих. Теме доверенного ПАК была посвящена отдельная сессия, про неё упоминалось и на других сессиях, в том числе по безопасности КИИ.
ПАК – понятия и подходы
На сессии говорили о том, что:
есть определение ПАК, «но размытое», есть постановления Минпрома, Минцифры, готовится проект указа президента и т.п.;
«ПАК — самостоятельно используемое изделие», а в реале?»;
«ПАК — а считать ли как ПАК модули комплекса?» и т.п.
Отмечали, что «наш ПАК — это технологический альянс, 20+ производителей, также сервис и поддержка от них».
В моём понимании ПАК – это, например, межсетевой экран или криптомаршрутизатор. Они выполняют описанный в документации на них функционал, реализованы на аппаратной платформе, имеют микропрограммную часть, системное ПО и прикладное, которое заявленный функционал и реализует.
Наверное, ПАК можно назвать любую ЭВМ, которая решает специализированные задачи — есть всё перечисленное, а прикладное ПО может меняться, также, как и часть аппаратной начинки (серийный номер ЭВМ останется прежним).
Программно-логический контроллер — разве не ПАК? По сути, ЭВМ для решения специализированных задач.
В ряде отраслей, например, в ТЭК, вместо ПАК часто используют сочетание «программно-технический комплекс» (ПТК).
Постановление Правительства Российской Федерации от 28 декабря 2022 г. № 2461 даёт следующее определение:
"программно-аппаратный комплекс" — комплекс технических и программных средств (программного обеспечения), работающих совместно для выполнения одной или нескольких специальных задач, являющийся электронной вычислительной машиной или специализированным электронным устройством (устройствами), функционально-технические характеристики которого (которых) определяются исключительно совокупностью программного обеспечения и технических средств и не могут быть реализованы при их разделении. Программно-аппаратный комплекс является самостоятельно используемым, законченным техническим изделием, имеющим серийный номер.
Пример определения из ГОСТ Р 52980-2008 (не ПАК, но АПК):
3.2 аппаратно-программный комплекс: Комплекс, состоящий из аппаратного и программного обеспечения системы, позволяющий осуществлять сбор, обработку, хранение и отображение информации о состоянии объектов в реальном масштабе времени.
На основании Постановления № 2461 Минцифры издало приказ от 31.01.2023 N 62 "Об утверждении классификатора программно-аппаратных комплексов и Правил применения классификатора программно-аппаратных комплексов", зарегистрировано его в Минюсте России 13.04.2023 Nза № 72994.
В классификаторе перечислены следующие виды ПАК:
передачи информации;
хранения, извлечения, анализа и обработки данных;
мониторинга и управления;
виртуализации;
для Java приложений;
для искусственного интеллекта;
в сфере транспорта;
в сфере здравоохранения;
в сфере строительства и ЖКХ;
для «Умного многоквартирного дома»;
для отраслей промышленности;
в сфере торговли;
выполняющий контрольно-измерительные функции (средства измерения);
виртуальной реальности;
предназначенный для обеспечения информационной безопасности.
Определение соответствия ПАК одному или нескольким классам будет проводиться Экспертным советом по российскому ПО при Минцифры, одновременно с принятием решения о включении ПАК в реестр российского ПО. Полагаю, что этот же совет будет разрешать коллизии, например, за счет наличия различных признаков классификации: технологического и по области применения.
Доверенный ПАК – что это
Сочетание «доверенный ПАК» встречается нам в проекте постановления Правительства Российской Федерации «О порядке перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры», подготовленного Минпромторгом в августе 2022 года во исполнение Указа Президента Российской Федерации от 30.03.2022 №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».
На федеральном портале проектов нормативных правовых актов он застыл на разделе «Подготовка заключения об ОРВ» и не перешел в «Рассмотрение проекта в Правительстве РФ».
В проекте:
«программно-аппаратный комплекс» — набор технических и программных средств, работающих совместно для выполнения одной или нескольких сходных задач», что не соответствует принятому в декабре 2022 года Постановлению № 2461, но думаю, если будут принимать, то поправят;
«доверенный программно-аппаратный комплекс» — программно-аппаратный комплекс, в составе которого используются российские радиоэлектронная продукция и программное обеспечение, соответствующий требованиям безопасности, утвержденным Федеральной службой по техническому и экспортному контролю Российской Федерации и (или) Федеральной службой безопасности Российской Федерации;
«российская радиоэлектронная продукция», «радиоэлектронная продукция российского производства» — радиоэлектронная продукция, телекоммуникационное оборудование, сведения о которых содержатся в едином реестре российской радиоэлектронной продукции (далее — реестр радиоэлектронной продукции);
«российское программное обеспечение», «программное обеспечение российского происхождения» — программное обеспечение, сведения о котором содержатся в едином реестре российских программ для электронных вычислительных машин и баз данных или едином реестре программ для электронных вычислительных машин и баз данных из государств — членов Евразийского экономического союза, за исключением Российской Федерации (далее — реестры программного обеспечения).
На секции ЦИПР представитель Росатома рассказал о программе создания доверенных ПАК и поэтапном (чтобы работа отрасли не остановилась) переходе на них, в том числе сообщил, что готовится соответствующий национальный стандарт, в который планируют внести определения.
Также на этой секции услышал мнения, что:
доверенный ПАК — когда АП в реестре Минпромторга, а ПО -в реестре Минцифры;
когда он преимущественно реализован на российской электронной базе;
сборка и проверка ПАК должны быть отечественными.
Доверие и безопасность КИИ
Возможно ли применять объекты КИИ для управления критичными процессами только на основании того, что они спроектированы и произведены в России? Пусть даже только из российских радиоэлектронных компонент и ПО?
Нет, поэтому в проект документа в ходе общественного обсуждения было добавлено про необходимость соответствия доверенного ПАК требованиям по безопасности. В большинстве случаев такое соответствие, уверен, будут подтверждать через системы сертификации ФСТЭК России и ФСБ России.
Доверие – это соответствие определенным критериям, проверенным согласно определенных методик и процедур квалифицированными специалистами с применением соответствующих средств (сертифицированных, поверенных и т.п.).
Доверие — не только соответствие требованиям по безопасности информации, это и функциональная безопасность, надежность, совместимость с другими компонентами, вместе с которыми они будут функционировать, которые будут применяться для обеспечения их безопасности.
Необходимы объективно проверяемые критерии доверенности, процесс оценки доверенности (соответствия), создание экспертных лабораторий (делегирование функций имеющимся), затем уже передавать материалы на рассмотрение экспертного совета.
Какие критерии доверия для оценки ПАК вы бы приняли?