Безопасность информационных технологий

Уважаемые коллеги!

 А все-таки жаль, что кончилось лето! А вместе с ним и наши надежды, что штормовая погода вот-вот завершится и наша жизнь вернется в спокойное русло. А никто и не обещал, что будет легко, покой нам только снится!

Во исполнение ранее опубликованных Указов Президента России (см. колонку главного редактора в нашем журнале том 29 №2 (2022) Правительство Российской Федерации утвердило соответствующие постановления, краткий реферат которых представлен ниже.

Постановление от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)» утвердило соответствующие положения.

Первое из двух утвержденных типовых положений определяет полномочия, права и обязанности заместителя руководителя федерального органа исполнительной власти (ФОИВ), других государственных органов и организаций, стратегического предприятия и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры – КИИ РФ (далее – орган, организация), ответственного за обеспечение информационной безопасности, в т.ч. за обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты (далее – ответственное лицо).

Установлено, что ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности (ИБ) или пройти обучение по программе профессиональной переподготовки по направлению «Информационная безопасность». Перечислены знания, умения и профессиональные компетенции ответственного лица. Установлены трудовые (должностные) обязанности, права и ответственность ответственного лица.

Второе из утвержденных типовых положений определяет цели, задачи, функции, права, взаимоотношения и связи, показатели эффективности и результативности структурного подразделения органа (организации), обеспечивающего его информационную безопасность.

Очевиден рост спроса на специалистов в области ИБ, с другой стороны - еще в мае этого года ряд экспертов констатировали дефицит таких сотрудников на уровне 30% от числа вакансий. Обе тенденции сложились и позволяют прогнозировать высокую нагрузку на ВУЗы и учебные центры по соответствующим образовательным программам. Например, этим летом в НИЯУ МИФИ на направления в области ИБ поступило максимальное число магистров за последние 5 лет, а также дополнительно открыта первая программа профессиональной переподготовки «Информационная безопасность. Обеспечение безопасности значимых объектов критической информационной инфраструктуры».

Постановление от 22 августа № 1478 с нелаконичным названием (воспроизвожу с сокращениями): «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки а соответствие с Федеральным законом
«О закупках товаров, работ, услуг отдельными видами юридических лиц (…) на принадлежащих им значимым объектах КИИ РФ, Правил согласования закупок иностранного программного обеспечения, …, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, …». Здесь определены ФОИВ, осуществляющие согласование иностранного программного обеспечения (ПО) и/или услуг, необходимых для использования этого ПО на значимых объектах КИИ РФ в различных областях. В частности, соответствующее согласование в области ракетно-космической и оборонной промышленности возложено на Министерство промышленности и торговли Российской Федерации. Отмечена возможность привлечения отраслевых центров компетенций по импортозамещению ПО, в том числе на базе подведомственных учреждений. Контроль за соблюдением правил закупки иностранного ПО и услуг по его использованию, а также за соблюдением запрета на его использование возложен на Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры РФ). Для этого Минцифры РФ может привлекать экспертную организацию в порядке, предусмотренном законодательством РФ. Кроме того, Минцифры РФ поручено в двухмесячный срок утвердить методические рекомендации по переходу на использование российского ПО, в том числе на значимых объектах КИИ РФ.

В утвержденных требованиях к ПО на объектах КИИ отмечено, что данное ПО должно быть включено в единый реестр российских программ для электронных вычислительных машин и баз данных. ПО, предназначенное для обеспечения безопасности значимых объектах КИИ РФ, а также ПО, предназначенное для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о таких инцидентах на объектах КИИ должны соответствовать требованиям ФСТЭК России и ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).

В утвержденных правилах согласования закупок иностранного ПО в целях его использования на значимых объектах КИИ, а также закупок соответствующих услуг отмечено что заявка на закупку с ценой договора 100 млн.рублей и более подлежит рассмотрению специальной комиссией, формируемой Минцифры РФ, в состав которой входят представители уполномоченных органов, иных ФОИВ, а также организаций. Минцифры РФ утверждает Положение о комиссии и ее состав. Указаны основания для принятия решения комиссии об отказе в одобрении закупки или решения уполномоченного органа об отказе в согласовании покупки.

В утвержденных правилах перехода на преимущественное использование российского ПО на объектах КИИ предписана необходимость разработки, указаны содержание и сроки плана перехода на отечественное ПО, составленного на период до
1 января 2025 г. (с разбивкой по годам).

К большому сожалению, принятое Постановление ограничилось регламентацией порядка приобретения и использования только ПО и не затронула аппаратную часть – РЭА и ЭКБ для комплектования радиоэлектронных систем и комплексов объектов КИИ.

Далее – анонс информационных событий по тематике нашего журнала. Важнейшим из них является Российский Форум «Микроэлектроника 2022» (далее – Форум»), который состоится со 2 по 8 октября 2022 г. в Розе Хутор (Сочи). Наш журнал является доверенным информационным партнером Форума.

Одной из центральных тематических линий Форума в этом году является обеспечение доверенности ЭКБ и РЭА, как важнейшего составного элемента конкурентоспособности электронных изделий.

Под доверенностью (в смысле предсказуемости, соответствия ожиданиям) далее понимается подтвержденное свойство изделия или процесса удовлетворять потребности в соответствие с назначением в течение срока и в условиях эксплуатации, верифицируемости, тестопригодности и соответствия документации, санкционной стойкости, а также отсутствие недекларируемых включений, коррекций и возможностей управления и считывания информации, признаков фальсификата и контрафактного происхождения.
В таком контексте информационная безопасность (состояние защищенности данных, при котором обеспечены их конфиденциальность, доступность и целостность) является лишь составной частью доверенности – важной, но не самой приоритетной для многих гражданских систем.

В оборонной технике нормированы основные требования к изделиям, по сути, формирующие свойства доверенности – это качество, надежность, стойкость к внешним воздействующим факторам, информационная безопасность. Но для гражданской продукции данные требования практически не отражены в нормативных документах. В гражданских системах до последнего времени применялись почти исключительно иностранные ЭКБ и электронные блоки, соответствие которых требованиям назначения сводилась к их формальной сертификации, проводившейся в основном по наличию поставочной документации. Такие изделия можно было считать условно доверенными при легальной закупке продукции известных брендов, предоставляющих потребителю подробную документацию, эффективную систему технической поддержки и гарантийного обслуживания. В существующих реалиях потребовалась смена поставщиков и логистических цепочек. Потребители лишились технической поддержки и гарантий изготовителя. Отсутствует техническая информация о проектных решениях и базовых техпроцессах ЭКБ, о методических подходах и условиях проведения испытаний – по сути компоненты стали «черными ящиками». В этих условиях требуется обеспечить полный и информативный входной контроль работоспособности изделий у квалифицированного поставщика и/или потребителя с проверкой соответствия требованиям назначения с учетом сроков и условий эксплуатации. Понятие контрафакта требует юридической переквалификации в реалиях параллельного импорта. Максимальную актуальность и остроту приобрело требование обеспечения технологической независимости – по сути, санкционной стойкости. В целом, во весь рост встал вопрос выбора пути (стратегии) обеспечения комплектования аппаратуры: (1) путем поэлементной замены всей номенклатуры недружественного на дружественный импорт; (2) путем поэлементной замены всей номенклатуры ЭКБ ИП на отечественные аналоги; (3) путем переработки целых узлов и блоков РЭА на системно-ориентированные блоки в микроэлектронном исполнении в виде систем-на-кристалле и систем-в-корпусе, (4) или еще как-то? Очевидно, что на практике потребуется разумное сочетание всех перечисленных подходов, но для рационального выбора необходим всесторонний анализ выполнимости и технико-экономической эффективности каждого из них. Данная ситуация характерна не столько для узкого круга специальных ЭКБ, сколько для широчайшей номенклатуры электронной продукции для аппаратуры связи, навигации, цифровой идентификации, интернета вещей, транспорта (в том числе беспилотного), больших данных, коммунального хозяйства, охранных и многочисленных других классов гражданских электронных систем. Методы обеспечения и оценки доверенности должны развиваться и применяться на этапах проектирования, изготовления, верификации, тестирования и испытаний изделий – для всей гражданской продукции это важнейшая новая комплексная задача, в решение которой должны внести свой вклад и дизайн-центры, и предприятия – контрактные изготовители ЭКБ, и испытательные центры и предприятия-потребители ЭКБ и РЭА. Именно поэтому тема доверенности ЭКБ и РЭА обоснованно оказалась в центре научной проблематики Форума.

Наиболее интересным мероприятием из уже состоявшихся событий в рамках Форума за текущий период считаю предконференцию «Доверенные и экстремальные электронные системы», которая прошла с 12 по 14 сентября 2022 г. в Москве на базе одноименного консорциума НИЯУ МИФИ и АО «ЭНПО СПЭЛС».

В жестком рабочем режиме – ежедневно с 9.00 до 19.00 – по 8 часов интересных докладов, жарких дискуссий по наиболее актуальным темам развития отечественной электроники и полезных экскурсий по лабораториям (в том числе мастер-класс по лазерному экспресс-удалению маркировки с кристаллов микросхем). 82 доклада, более
100 участников ежедневно, из них треть очно и две трети онлайн. Рекорд по числу слушателей зафиксирован у доклада Филаретова А.Г. (АО «Светлана-Рост») «Место и роль А₃В₅ СВЧ технологий в процессах разработки и производства радиотехнических систем». Приз зрительских симпатий у эмоционального доклада Безродного Б.Ф. (ФГУП «НИИАС») «Проблемы ЭКБ при обеспечении кибербезопасности систем железнодорожной автоматики и телемеханики». Приз координатора предконференции (Ваш покорный слуга) за запоминающийся доклад поделили – Горбунов М.С. (НИЯУ МИФИ – АО «ЭНПО СПЭЛС») «Какой могла бы быть программа создания отечественных САПР» и Чистов А.С. (ООО «НПП «ИТЭЛМА») «Требования к электронным компонентам для доверенных блоков управления автотранспортом».

Вопросы обеспечения и оценки доверенности ЭКБ и РЭА при их разработке, изготовлении и эксплуатации были рассмотрены на обзорном заседании в рамках блока «Доверенная электроника» Предконференции, которое состоялось 14 сентября 2022 г. в Москве. Было представлено 23 доклада, значимая часть времени уделена ярким и интересным дискуссиям о соотношении доверенности и информационной безопасности, особенностям задания требований доверенности и методов оценки соответствия этим требования изделий, предназначенных для комплектования как объектов КИИ, так и широкого круга гражданских систем.

В процессе подготовки данного номера появилась инициатива ввести в порядке эксперимента в нашем журнале новую рубрику «Есть мнение», в которой авторы будут выступать с оперативными откликами и мнениями по актуальным проблемам, мероприятиям и документам.

Продолжим анонс – теперь уже предстоящих событий Форума по тематике нашего журнала.

Проблемная ситуация в области обеспечения технологической независимости, безопасности критической информационной инфраструктуры и доверенности комплектующих ЭКБ и РЭА будет рассмотрена на пленарном заседании Форума  «Доверенность ЭКБ и РЭА – тема для спекуляций или объективный вызов?», которое состоится 4 октября 2022 г., с 15.00 до 18.30 (Роза-холл). В программе запланированы выступления представителей государственного регулятора – Лютикова В.С. (ФСТЭК России), головной Госкорпорации – Шевченко А.Б. (ГК «Росатом») и научно-академического сообщества – Зегжды Д.П. (Институт кибербезопасности и защиты информации СПбПУ). Подходы к созданию гражданской продукции в новых реалиях представят руководители предприятий-разработчиков радиоэлектронных систем –
Анцев И.Г (АО «Радар-ММС») и Бутко А.Б. (АО «РАСУ»). В завершение Тихонов А.И. (Ассоциация «Доверенная платформа») обобщит системные аспекты обеспечения технологической независимости и безопасности критической информационной инфраструктуры. В ходе дискуссии будут подведены итоги заседания.

Анализ и обсуждение различных аспектов обеспечения и оценки доверенности ЭКБ и РЭА будут продолжены в ходе трека обзорно-дискуссионных заседаний «Развитие экосистемы создания доверенной ЭКБ и РЭА в условиях турбулентности» 5 и 6 октября 2022 г. с 10.00 до 18.30 (Роза Холл).

На заседании «Проблемная ситуация по комплектованию аппаратуры в новых реалиях» 5 октября 2022 г. 10.15–11.30 особенности комплектования радиоэлектронных комплексов будут рассмотрены в выступлениях Краснова М.И. (АО «Российские космические системы») – применительно к космическим системам, и Чистова А.С.
(ООО «НПП «ИТЭЛМА») – применительно к автоэлектронике. Подход к формированию сквозных проектов развития ЭКБ и РЭА представит Заблоцкий А.В. (ФПИ). В выступлении Одинокова А.В. (ООО «СБИС Технологии») будет дан обзор зарубежной практики государственной поддержки развития национальной электронной промышленности.

На заседании «Системный подход к разработке и комплектованию ЭКБ доверенной аппаратуры приемо-передающих радиоэлектронных комплексов связи и передачи данных» 5 октября 2022 г. 12.00–13.30 рассмотрим современное состояние и тенденции развития ЭКБ аппаратуры комплексов связи и передачи данных, которые составляют подавляющую долю рынка современной радиоэлектроники. На примере сетей 5-го и
6-го поколений и интернета вещей обсудим вопросы: развивать унифицированную или системно-ориентированную номенклатуру ЭКБ; какие технологические процессы и инфраструктура приоритетно необходимы для изготовления ЭКБ; какой маршрут разработки предпочтительнее – сосредоточенный или распределенный и нужна ли синхронизация маршрутов разработки РЭА и ЭКБ. В выступлении Будякова А.С. (ООО «ИнноЦентр ВАО») будут рассмотрены состояние и перспективы развития отечественных микроэлектронных программно-конфигурируемых радиосистем для комплексов связи 5G и 6G. Доценко В.В. (АО «НПП «Радар-ММС») проанализирует новые вызовы и решения в области ЭКБ аппаратуры перспективных сетей связи и передачи данных. В докладе Матвеева М.Ю. (ПАО «МТС») будут представлены доверенные устройства и решения интернета вещей и номенклатура ЭКБ для их реализации. В дискуссии примут участие эксперты – Монастырев Е.А. (АО «НИИПП») и Зайцев А.В. (АО «НПЦ «Элвис»).

На заседании «Потребности и возможности создания новых технологий и доверенных контрактных производств микро-, нано-, и СВЧ-электроники» 5 октября 2022 г. 15.00–16.30 рассмотрим состояние и перспективы отечественных контрактных производств ЭКБ микро- и СВЧ-электроники по кремниевым и А3В5 технологиям для систем связи и передачи данных. Шелепин Н.А. (ИНМЭ РАН) обобщит отечественный опыт контрактного производства КМОП СБИС. Состояние и перспективы развития отечественных контрактных производств твердотельной СВЧ электроники представят Чалый В.П.
(АО «Светлана-Рост») и Щербаков С.В. (АО «НПП «Исток» им. Шокина»). Особенности и примеры характеризации базовых техпроцессов контрактных производств СВЧ ЭКБ в своих содокладах озвучат Бабак Л.И. (ТУСУР) и Усачев Н.А. (НИЯУ МИФИ).

Завершающее заседание первого дня трека «Обеспечение и контроль функционирования ЭКБ в экстремальных условиях изменения Климата (было «-7», а стало «-8»)…» 5 октября 2022 г. 17.00–18.30 посвящено вопросам радиационной стойкости ЭКБ.

Сначала Селецкий А.В. (АО «НИИМЭ»), Шелепин Н.А. (ИНМЭ РАН) и Новоселов А.Ю. («Миландр-ЭК)» обсудят задачу создания технологической платформы разработки радиационно-стойких схем на базе отечественного КМОП производства. Далее Пармон П.Л. (АО «НИИЭТ») и Чуков Г.В. (АО «ЭНПО СПЭЛС») проанализируют опыт использования лазерного и рентгеновского испытательных комплексов на предприятии для оперативных оценок и контроля радиационной стойкости изделий и процессов разработки и производства ЭКБ. В завершение выступит Уланова А.В. (НИЯУ МИФИ) с анализом методических особенностей оценки радиационной стойкости ЭКБ по новому комплексу стандартов. В дискуссии примут участие эксперты – Щепанов А.Н. (АО «НИИП») и Чубунов П.А. (АО «НИИКП»).

Следующий день работы трека откроется заседанием «Развитие доверенной инфраструктуры для проектирования компонентов и СФ блоков микро-, нано- и СВЧ-электроники: проблемы и пути их решения» 6 октября 2022 г. 10.00–11.30. Рассмотрим обеспечение инфраструктуры разработки ЭКБ и РЭА средствами автоматизированного проектирования. Обсудим вопросы разработки отечественных САПР и использования иностранного программного обеспечения (ПО), рассмотрим особенности открытого ПО. Горбунов М.С. (НИЯУ МИФИ – АО «ЭНПО СПЭЛС») представит свой взгляд на облик программы создания отечественных САПР. Елизаров С.Г. (ООО «Мальт Систем») выскажется о перспективах использования открытого ПО и IP для разработки микросхем. Далее Плаксин А.А. (ЭРЕМЕКС) рассмотрит новые и старые вызовы для отечественного разработчика САПР электроники. И в завершение Бабак Л.И. (ТУСУР) расскажет о создании отечественных САПР для проектирования СВЧ устройств и полупроводниковых ИС. В дискуссии примет участие в качестве эксперта Старилов М.В. (ЗАО «СКАН»).

На следующем заседании «Микропроцессорные платформы в новых реалиях»
6 октября 2022 г. 12.00–13.30 рассмотрим вопросы выживания и развития микропроцессорных платформ в условиях турбулентности, включая перспективы RISC-V, ARM и Эльбрус, обсудим наши возможности участвовать в развитии RISC-V или создания его отечественной версии. Доклад Трушкина К.А. (АО «МЦСТ») представит развитие архитектуры «Эльбрус» в обострившейся конкурентной борьбе с RISC-V. Редькин А.Н. (ООО «СИНТАКОР») выскажет мнение о наличии альтернативы у RISC-V. Козлов А.В. (ООО «Клаудбеар») расскажет об отечественных RISC-V ядрах в сопоставлении с ядрами ARM. В завершение заседания Хренов Г.Ю. (Байкал Электроникс) подведет его итоги и выскажется по перспективе.

Завершающее заседание трека «Обеспечение и оценка соответствия ЭКБ требованиям доверенности» 6 октября 2022 г. 15.00–16.30 рассмотрит практические аспекты системы обеспечения и оценки доверенности, необходимые нормативные документы и новые вызовы в обеспечение доверенности в условиях параллельного импорта ЭКБ, а также задачи защиты РЭА от реинжиниринга. Откроет заседание Кессаринский Л.Н. (НИЯУ МИФИ) с докладом по облику системы обеспечения и оценки доверенности на всех этапах жизненного цикла ЭКБ. Титаренко А.А. (ГК «Росатом») представит подход к заданию и реализации требований доверенности к ЭКБ и радиоэлектронным комплексам критической инфраструктуры. Далее Боярков В.С. (18 ЦНИИ) опишет задачу и методику удаления маркировки корпусов ЭКБ для применения в доверенной РЭА. И, наконец, Горный С.Г. (ООО «Лазерный Центр») расскажет об идентификации, контроле оборота и защиты от подделки лазерными штриховыми кодами высокой плотности. В завершение работы трека состоится общая дискуссия и подведение его итогов.

Учитывая, что все мероприятия будут транслироваться онлайн, приглашаем всех заинтересованных специалистов зарегистрироваться для участия в Форуме и принять участие в заседаниях. Ждем вас на Форуме, Роза Хутор 2–8.10.2022.