Безопасность информационных технологий

Здравствуйте, уважаемые читатели и авторы журнала!

Время летит, позитивных новостей явно не хватает, во всех смыслах дело идет к зиме, что часто не способствует повышению настроения и деловой активности.

В области нормотворчества очередной период выдался не щедрым на новые документы. Постановление Правительства РФ от 29.10.2022 г. № 1934 «О требованиях к адресам электронной почты, используемым государственными органами и органами местного самоуправления» предписывает, что с 1 декабря 2022 г., соответствующие адреса должны создаваться с использованием доменных имен и сетевых адресов, находящихся в российской национальной доменной зоне.

ФСТЭК России на своем сайте опубликовала два новых методических документа, утвержденных 28.10.2022:

-     Методика тестирования обновлений безопасности программных, программно-аппаратных средств.

-     Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств.

Методические документы предназначены для использования операторами информационных систем при реализации требований по защите информации
и обеспечению безопасности значимых объектов критической информационной инфраструктуры (ОККИ) РФ. Оба документа определяют методический подход к практической деятельности подразделения по защите информации ОККИ, устанавливают приоритетность реализации мер защиты, уменьшают риск профанации. Несмотря на то, что Методику определения уровня критичности уязвимостей предписано применять как для программного, так и для аппаратного обеспечения (как и заявлено в названии документа), на практике Методики, по сути, ориентированы в основном на уязвимости программных средств.

На решение задачи развития ЭКБ направлено Постановление Правительства РФ от 13 октября 2022 г. № 1827 «Об утверждении Правил предоставления субсидии из федерального бюджета некоммерческой организации Фонд развития Центра разработки и коммерциализации новых технологий в целях поддержки и развития малых и средних дизайн-центров электроники». Правительство профинансирует создание малых и средних центров проектирования электронных, микроэлектронных и радиоэлектронных изделий.
В 2022–2023 гг. на эти цели будет выделен 1 млрд руб. Средства из федерального бюджета будут выделяться в виде субсидий. Они пойдут на поддержку научно-исследовательских, опытно-конструкторских и технологических работ. Новые центры проектирования займутся разработкой ЭКБ, комплексов и систем вычислительной техники, телекоммуникационного оборудования, а также медтехники и автомобильной электроники. Ещё одним направлением финансирования станет вывод готовой продукции на приоритетные рынки. К 2030 г. в России должно действовать не менее 100 центров проектирования электронной, микроэлектронной и радиоэлектронной продукции. Оператором субсидий станет фонд «Сколково». Работа будет вестись в рамках госпрограммы «Развитие электронной и радиоэлектронной промышленности».

Казалось бы, какое отношение данный документ имеет к тематике нашего журнала? Думаю, что непосредственное, так как обеспечение доверенности ЭКБ на этапе ее проектирования является критически важным этапом обеспечения общей доверенности готовой ЭКБ и РЭА на ее основе (наряду с соответствующими работами на этапах изготовления, верификации, тестирования, испытаний). При этом большинство «традиционных» предприятий-разработчиков ЭКБ воспитаны на школе и нормативной базе оборонной электроники, где многие системные требования, правила и ограничения изначально «закладывают» результат доверенности (часто в ущерб эффективности, срокам, стоимости – в конечном счете – конкурентоспособности изделий). А для «молодых» дизайн-центров, ориентированных на гражданскую продукцию, никаких «нормативных пут» не существует (наверное, только логистические). Тогда очевидно, что требования и методы обеспечения и оценки доверенности разрабатываемых изделий будут априори отсутствовать (если только они не будут установлены в технических заданиях на проекты и не регламентированы в действующей системе менеджмента качества дизайн-центра, а есть ли она?). Ваш покорный слуга входит в экспертный совет по данным субсидиям, поэтому надеюсь, как минимум, получить объективную информацию по данному вопросу.

Кстати, аналогичные риски на мой взгляд существуют при планах и практике передачи функции заказа НИОКР по созданию ЭКБ от Госзаказчика ЭКБ – Минпромторга России (Департамент радиоэлектронной промышленности) – к не вполне профильным институтам развития – таким как Фонд Перспективных Исследований (ФПИ) и Российский Научный Фонд. При многих положительных моментах таких подходов, есть серьезное опасение, что ТЗ и приемка данных НИОКР будут ориентированы исключительно на достижение функциональной работоспособности создаваемых гражданских продуктов без отвлечения ресурсов на неблагодарные и «хлопотные» аспекты доверенности – обеспечения качества, надежности и стойкости к внешним воздействующим факторам при разработке (в т.ч. верификации и тестировании) и изготовлении (включая освоение и мониторинг стабильности производства). И я совершенно уверен, что здесь «цель не оправдывает средства», так как при таком подходе все риски по обеспечению работоспособности изделия в сроки и условиях применения в аппаратуре полностью перекладываются с разработчика на потребителя ЭКБ – разработчика РЭА…

Вместе с тем, к большому сожалению, и Минпромторг России в качестве Госзаказчика по ЭКБ и его головная научно-исследовательская организация – ФГБУ «ВНИИР» – в настоящее время не уделяют должного внимания тематике обеспечения и оценки доверенности ЭКБ, что наглядно проявляется в отсутствии какой-либо управленческой активности, в т.ч. ответственных и каких-либо планово-программных мероприятий по данному направлению… Видимо лидеры отрасли опять ждут «пока гром грянет…» – ох, как бы не было слишком поздно…

Из важных мероприятий, состоявшихся в период с выпуска прошлого номера БИТ, следует прежде всего отметить Российский Форум «Микроэлектроника 2022», который прошел со 2 по 8 октября в п. Роза-Хутор (г. Сочи). На мероприятии было зарегистрировано более 1700 участников, что является абсолютным рекордом за всю историю
Форумов с 2015 г. Основатель и основной вдохновитель Форума академик Красников Г.Я. буквально накануне открытия был избран президентом РАН (наши искренние поздравления!), поэтому не смог очно участвовать в Форуме, ограничившись заочным приветствием.  Аналогично в электронном формате участников приветствовали вице-премьер Правительства РФ Чернышенко Д.Н., вице-премьер Правительства РФ, министр Минпромторга России Мантуров Д.В., заместитель министра Минцифры России Заренин А.А., генеральный директор Госкорпорации «Роскосмос» Борисов Ю.И. С очным докладом по планам развития отрасли перед участниками выступил заместитель министра Минпромторга России Шпак В.В.
С докладом к участникам Форума обратился Шалаев А.П. – руководитель Федерального агентства по техническому регулированию и метрологии (Росстандарт). Удивительно, что несмотря на приглашение, Форум проигнорировали руководители Минобрнауки России, которые, по-видимому, также не считают тематику Форума профильной для своей отрасли…

Формальные итоги Форума еще не вполне подведены, но мы можем кратко отметить здесь его основные результаты по тематике журнала. Результаты обзорного заседания по доверенности ЭКБ на предконференции были кратко представлены в прошлом выпуске БИТ.

Во второй день основного мероприятия Форума состоялось пленарное заседание на тему «Доверенность ЭКБ – тема для спекуляций или объективный вызов». В рамках своего вводного выступления «Понятие и критерии доверенности ЭКБ и РЭА, проблемная ситуация и программа заседания (Доверять не нужно проверять!)» Ваш покорный слуга в качестве модератора еще раз представил определение термина «доверенность» применительно к ЭКБ и РЭА и предложил критерии доверенности. Под доверенностью (в смысле предсказуемости, соответствия ожиданиям) понимается подтвержденное свойство изделия (или процесса его создания) удовлетворять потребности в соответствие с назначением в течение срока, в режимах и условиях эксплуатации, а также верифицируемости, тестопригодности, соответствия документации, технологического суверенитета, информационной безопасности и подлинности (это уточненная редакция по результатам обсуждений). Отмечено, что в настоящее время в инженерном сознании понятия «доверенность» и «информационная безопасность» близки до смешения, и оба понятия используются в основном применительно к средствам защиты информации, вооружению, военной и специальной технике, объектам критической информационной инфраструктуры (ОКИИ). При этом под информационной безопасностью понимается состояние защищенности данных, при котором обеспечены их конфиденциальность, доступность и целостность. Поэтому информационная безопасность является лишь составной частью доверенности – важной, но не всегда приоритетной, особенно применительно к номенклатуре ЭКБ для гражданской инфраструктуры, к которой можно отнести энергетику, интернет вещей, искусственный интеллект, «умный город», промышленность (АСУ ТП), транспорт (в т.ч. беспилотный), электронную маркировку и идентификацию, системы охраны, коммунальное хозяйство… Было подчеркнуто, что фундаментом доверия являются знания об объекте ЭКБ: чем выше степень нашего понимания объекта и эффективности (достаточности) методов обеспечения доверенности, тем меньше требуемый объем дополнительных проверок и испытаний, и наоборот, «черный ящик» требует бесконечного объема испытаний.

С докладами на пленарном заседании выступили Шевченко А.Б. – директор по технологическому развитию Госкорпорации «Росатом» и Тихонов А.И. – президент ассоциации «Доверенная платформа». Основным предметом этих выступлений являлись концепты и подходы к обеспечению кибербезопасности информационных систем ОКИИ.

Во второй части этого пленарного заседания выступили практики. Анцев И.Г. (АО «Радар-ММС») представил доклад «Создание доверенного гражданского продукта в новых реалиях: проблемы и решения». Как всегда четко, ярко, предметно. Очень «сильный» предложенный тезис: целесообразность перехода от регламентации требований и контроля всей совокупности мероприятий по обеспечению доверенности гражданского продукта к предоставлению предприятию статуса «доверенного поставщика» гражданского продукта.

Егоров А.Г. (АО «РАМ») выступил с докладом «Развитие отечественных АСУ ТП – стратегические задачи и доверенные решения». Представлен концепт действующего подхода к обеспечению доверенности при комплектовании автоматизированных систем управления технологическими процессами.

Далее состоялась дискуссия по теме заседания при активном участии приглашенных экспертов – представителей АО «НИИМА «Прогресс» Мякочина Ю.О. и НИЯУ МИФИ Кессаринского Л.Н., а также широкой аудитории участников (по данным учета – это более
500 человек: 364 очных и 139 онлайн!). Было задано и обсуждено множество вопросов по доверенности ЭКБ и РЭА – уверен, что было и ярко, и интересно, и полезно… Вот только представители Минпромторга России и ФГБУ «ВНИИР» к большому сожалению, в зале отсутствовали…

В третий и четвертый дни Форума проходил трек обзорно-дискуссионных мероприятий по экосистеме обеспечения доверенности ЭКБ и РЭА – его программа была представлена в прошлом номере журнала. Большое внимание аудитории было уделено заседаниям по подходам к комплектованию РЭА в современных реалиях, по СВЧ ЭКБ для систем связи и телекоммуникаций (до 80% от рынка потребления электроники), по базовым технологиям СВЧ ЭКБ, по отечественным микропроцессорным платформам и САПР, по радиационной стойкости, а также по методическим и техническим средствам оценки и контроля доверенности. Аудитория большинства проведенных мероприятий составила около 200 человек.

Хотелось бы особенно поблагодарить здесь моих соратников по подготовке мероприятий трека – Елесина В.В., Горбунова М.С., Уланову А.В., Кессаринского Л.Н., которые в качестве организаторов и модераторов внесли критически важный вклад в успех заседаний, а также всех участвующих модераторов, экспертов и слушателей, которые обеспечили живую интерактивную работу и заинтересованное восприятие контента.

Консорциум НИЯУ МИФИ и АО «ЭНПО СПЭЛС» «Доверенные и экстремальные электронные системы» принял участие в демозоне, поэтому тематика доверенности имела базовую площадку для коммуникации в формате «нон-стоп» – большая благодарность всей нашей многочисленной команде, которая активно работала на Форуме!

При несомненном успехе Форума должен отметить, что по моим ощущениям от многочисленных обсуждений, нам все-таки пока не удалось добиться понимания большинством участников различия и разграничения понятий доверенности и информационной безопасности по отношению к ЭКБ и РЭА. Хотя никакого осознанного оппонирования представленным подходам, по сути, не было. Видно, что по-прежнему в инженерном сознании преобладает бинарное восприятие этой проблематики. С одной стороны, для большинства гражданских задач требование доверенности воспринимается надуманным и не конкретным, а с другой – оно важно для специальных задач обеспечения ОКИИ. В последнем случае оно мало отличимо от требований информационной безопасности и защиты информации, которые предъявляются заказчиками программно-аппаратных комплексов и государственными регуляторами, и о которых знают лишь те, кто в это посвящены…

Кстати, буквально в последний момент поступила информация о формировании на базе создаваемого в Госкорпорации «Росатом» НПО «Критические информационные системы» нового технического комитета (ТК) по стандартизации «Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них». Пока не очень понятно как функционал и задачи нового ТК будут увязаны и гармонизированы с существующими и активно функционирующими ТК по смежной тематике.

Ну что ж, дорогу осилит идущий! Считаю, что сейчас критически важно вовлечь в эту проблематику Минпромторг России и ФГБУ «ВНИИР», без которых успешное развитие и нормативное регулирование задач доверенности ЭКБ и РЭА, даже гипотетически, не могут быть достигнуты.

Приглашаю авторов и читателей журнала активно высказать свои мнение и позицию по затронутым вопросам доверенности ЭКБ и РЭА и, конечно, по всем актуальным направлениям развития тематики журнала!

В заключение сердечно поздравляю всех причастных к НИЯУ МИФИ с 80-летним юбилеем нашей Альма-матер! Всей большой семье мифистов желаю здоровья, оптимизма и ярких перспектив!