Для критической инфраструктуры смягчают требования

Требования указа президента Владимира Путина о переводе объектов критической информационной инфраструктуры (КИИ) на отечественные решения могут быть смягчены. В соответствии с этим документом, подписанным 30 марта 2022 г., весь софт и программно-аппаратные комплексы (ПАК) на объектах КИИ должны быть импортозамещены до 1 января 2025 г. Но для ПАКов возможно продление до окончания срока эксплуатации уже действующих решений. Такую поправку к указу разработал Минпромторг, рассказал «Ведомостям» федеральный чиновник и подтвердил топ-менеджер одной из нефтегазовых компаний. По их словам, документ был внесен в правительство.

«Ведомости» направили запрос в Минпромторг и пресс-службу правительства.

Все организации так или иначе готовятся к переходу на отечественные ПАКи в составе КИИ к 2025–2028 гг., отмечает руководитель направления информационной безопасности (ИБ) «Платформы Сфера» (вендор отечественного ПО «Нота») Дмитрий Миндов. К 2028 г. изменения коснутся и «железа»: необходимо будет использовать только отечественные процессоры, напоминает он. Минпромторг действует в интересах бизнеса, продлевая сроки использования всех типов ПАКов до истечения сроков действия, рассуждает директор Центра технологического консалтинга РДТЕХ Светлана Иванова. Это не мешает стимулировать замещение иностранного ПО иными методами, но позволит внедрять его без угрозы непрерывности бизнеса и даст возможность планировать необходимые затраты наиболее эффективным образом, считает она.

Утверждение поправок позволит использовать уже закупленные ПАКи до истечения срока полезной эксплуатации, отмечает технический менеджер по направлению информационной безопасности «К2Тех» Егор Куликов. Сейчас, по его словам, отечественное оборудование закупить в короткие сроки очень трудно, потому что производители не могут удовлетворить полностью потребности рынка. Заказчикам приходится ждать отдельных поставок компонентов до полугода, отметил Куликов. По оценкам «К2Тех», около 90% ПАКов, которые не относятся к средствам защиты, еще используют импортное «железо», так как поменять единоразово всю инфраструктуру невозможно из-за дороговизны.

Разработка новых комплексов для замещения существующих ПАКов может занимать месяцы, объясняет коммерческий директор ГК Applite (разработчик ОС «Атлант») Дмитрий Елисеев. Сперва нужно найти подходящее по функциональности ПО из реестра Минцифры, затем подходящую аппаратную платформу из реестра Минпромторга, протестировать ПО и «железо» на совместимость в разных режимах с учетом изменчивости элементной базы. После этого внести протестированное решение в реестр Минпромторга с соответствующим кодом классификации ОКПД2, чтобы можно было утверждать, что оно является российским и отвечает требованиям ФЗ-44, ФЗ-223 (регулируют госзакупки. – «Ведомости»), а также постановлений правительства в области импортозамещения, перечисляет Елисеев.

Помимо сроков разработки еще одна проблема заключается в том, что практически для всех технических средств в составе ПАКов, кроме средств для обеспечения ИБ, еще не определены требования доверенности (сертификации ФСТЭК. – «Ведомости») и, как следствие, методики и регламенты проверки на соответствие, обращает внимание генеральный директор «Скала-Р» Виктор Урусов. По его словам, сейчас средства для обеспечения ИБ в составе КИИ сертифицирует ФСТЭК.

ФСТЭК сертифицирует решения, предназначенные для защиты информации или обработки персональных данных, в первую очередь средства защиты информации (СЗИ), подтверждает генеральный директор IT-компании «Флант» Александр Баталов. Это могут быть как ПАКи, так и отдельные компоненты в составе ПАКа. Например, в полномочиях ФСТЭК – утверждение требований к сертификации средств защиты, установка классов средств защиты, уровней доверия. В зависимости от того, по какому классу, уровню доверия сертифицирован ПАК, он может быть использован на значимом объекте КИИ определенной категории, объясняет эксперт.

Поправки Минпромторга, в частности, говорят о том, что если у ПАКа уже есть сертификат ФСТЭК, то его можно продолжать использовать после 1 января 2025 г., пояснил технический директор «Айти бастиона» Дмитрий Михеев. ПАКи, в принципе, сертифицировать не только сложно, но еще и долго – как минимум год-полтора, так как требуется, чтобы они имели регистрацию Минпромторга, которую невозможно получить на нелокализованном «железе», указывает он.

В случае если ПАК новый, сертификация может занять от 9 до 18 месяцев, оценивает Миндов. Стоимость будет также складываться из предыдущих шагов и может варьироваться от 3 млн до 10 млн руб., говорит он. На сегодняшний день в Едином реестре российских программ Минцифры с апреля 2023 г. существует раздел «Программно-аппаратные комплексы», куда включаются ПАКи, состоящие из отечественных софта и технических средств. По данным Миндова, два ПАКа из 28 уже сертифицированы ФСТЭК.

В то же время большое количество ПАКов разрабатывается с прицелом на КИИ, но еще не все успели получить сертификат, увидеть их в реестре ФСТЭК к 2025 г. вполне вероятно, ожидает он.

Сертификат соответствия на средство защиты выдается на срок до пяти лет, поэтому разработчик должен поддерживать в актуальном состоянии сертифицированное изделие, оказывать на нем техническую поддержку, в противном случае изделие нельзя эксплуатировать, предупреждает Баталов.