Безопасность информационных технологий

Больше года назад вышел Указ Президента Российской Федерации от 30.03.2022 г.
№ 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», в котором было поставлено обеспечение, в том числе, следующих задач:

• применение субъектами критической информационной инфраструктуры отечественных радиоэлектронной продукции и телекоммуникационного оборудования,
• переход субъектов критической информационной инфраструктуры на доверенные программно-аппаратные комплексы.

Казалось бы, что теперь вместо абстрактной статистики импортозамещения на первый план должны выйти реальные задачи обеспечения безопасности и технологической независимости критической инфраструктуры. Прошел год, и он показал, что абстрактно не только импортозамещение, но и безопасность. И проблема не только в том, что абстрактные представления расходятся с реальным миром событий, но еще в том, что у исполнителей разное понимание безопасности, технологической независимости, доверенных технических решений. Полагаю, что мы не сдвинемся с места в решении поставленных задач, пока на согласуем предмет регулирования, используемые понятия и контекст смыслов, ради чего это регулирование вводится.

Итак, нам нужно разобраться, как минимум, со следующими понятиями: технологическая независимость, безопасность, доверие, отечественная продукция.

Связаны ли понятия технологической независимости и безопасности? Для этого нужно ответить на вопрос, что является угрозой, от кого или от чего исходят угрозы безопасности? Было время, когда зарубежный вендор не рассматривался в качестве источника угроз. Мало того, решения американской разработки были эталоном безопасности. Нужно отметить, что нормативная база в области информационной безопасности с тех времен существенно не поменялась. Если безопасность рассматривать только через призму действующих требований информационной безопасности, то санкции не являются риском. Как минимум до тех пор, пока не выяснится, что субъект рынка, получивший сертификат регулятора, больше не доступен и парировать новые киберугрозы некому.

Но проблема не только в санкциях. Зависимость от любого единственного поставщика, от его закрытых проприетарных технологий несет угрозу безопасности. Таким образом, безопасность информационной инфраструктуры должна включать в себя кроме функциональной устойчивости, защищенности от киберугроз, санкционной устойчивости еще и требования вендоронезависимости, которое тянет за собой необходимость использования открытых стандартизованных архитектур, интерфейсов, протоколов, а также требования к организации цепочек проектирования, производства и поставок. Возможно, и это не все. Представления об угрозах и рисках будут меняться и, к сожалению, расширяться.

Здесь мы выходим на задачи уточнения моделей, которыми мы пользуемся для описания реального мира, что позволяет нам действовать сообща и при этом не терять адекватности. В инженерных дисциплинах это процесс стандартизации. Я бы предположил, что технологическая зависимость начинается с процессов стандартизации. Если стандартизация, начиная с терминологии, вся заимствованная, если от себя добавить нечего, это однозначно указывает на подчиненность интеллектуальную и идейную. Зависимость в используемых технических решениях идет следом.

Я бы определял технологическую независимость, она же суверенитет, как возможность реализации собственной воли, собственных идей. Таким образом, сначала нужно поставить вопрос о наличии идей и воли. Если нет в отрасли программы развития, нет стратегии (вариант 2020 г. ждет переработки с момента выпуска), не определены, а значит большинству и непонятны, цели и предназначение российской электронной промышленности, тогда никакой технологической независимости в принципе быть не может.

На мой взгляд важно различать понятия безопасности и технологической независимости. Если безопасность определяется угрозами и рисками, то технологическая независимость (суверенитет) определяется возможностями развития, степенью свободы в реализации своих интересов. Безопасность инфраструктуры и технологический суверенитет могут пересекаться на требованиях к оборудованию, процессам проектирования, процессам стандартизации. Из-за этих совпадений по требованиям возникает ложное ощущение того, что понятия совпадают. Но очень важно различать их, чтобы не терять возможность управлять и постоянного уточнять требования.

Иногда могут возникать противоречия между, например, требованиями функциональной безопасности и задачами развития и внедрения российских разработок. Важно не закрывать на эти противоречия глаза, нужно учиться разрешать их, согласовывая в каких случаях нужно жертвовать темпом развития ради безопасности и устойчивости, в каких случаях можно пойти на риск ради развития. Этим компромиссом, на мой взгляд, формируются требования доверия.

Понятие доверия определено через соответствие конкретным функциональным требованиям безопасности в ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.» Доверие, как и безопасность не могут быть абсолютными, поэтому не может быть реестра доверенных программно-аппаратных комплексов, ПО или оборудования. Но может быть реестр заключений об экспертизе, где представлены результаты проверок, соответствие уровню доверия. Содержание экспертизы по требованиям доверия может полностью перекрывать экспертизу на соответствие требованиям российского происхождения. Минпромторг может признавать более строгую экспертизу ФСТЭК России или ФСБ России, как достаточную для внесения в своей реестр продукции российского происхождения без дополнительных проверок в ТПП. Но это не значит, что понятие доверенных систем совпадает с понятием российского происхождения. Тем более неверно использовать критерии российского происхождения и нахождение продукции в реестре Минпромторга для подтверждения доверия. Критерии Минпромторга не имеют почти ничего общего с безопасностью и технологической независимостью. Особенно после того, как будет закончен переход на бальные критерии российского происхождения. В балльной системе Минпрома все требования вариативные, можно набрать пороговые баллы для включения в реестр разными путями, маловероятно, что наиболее трудный путь через создание собственных доверенных разработок будет преобладающим. Локализованное производство зарубежных разработок, даже при наличии у российской компании конструкторской документации, не имеет отношения к понятию доверия в контексте реальных угроз безопасности. Желательно было бы критерии российского происхождения привести к программам развития отрасли – планировать инвестиции в развитие новых разработок и производств компонентов, а вслед за началом выпуска расширять требования к компонентному составу российской продукции. Тогда это соответствовало бы задачам развития технологического суверенитета. Надеюсь, что придем к этому.

Покровский Иван А.

Исполнительный директор Ассоциации разработчиков и производителей электроники,

ул. Правды, 24, стр. 4, офис 322, Москва, 125124, Россия,

http://arpe.ru

e-mail: pokrov@arpe.ru, https://orcid.org/0009-0001-7819-1607