В «Газпроме» и «Транснефти» предупредили о проблемах из-за сертификации ИТ-комплексов

РасПАКовка

О проблеме, связанной с формулировкой критериев доверенности ПАК для значимых объектов КИИ, заявил начальник управления департамента «Газпрома» Александр Малько 3 марта на международной выставке «Нефтегаз-2026». «Есть у нас три критерия. Два понятных, третий — под вопросом», — сказал Малько в ходе своего выступления в панельной дискуссии «Автоматизация нефтегазовой отрасли: поиск оптимальных решений для устойчивого развития». По этому поводу «Газпром» направлял в Минэнерго письма, добавил он. От дополнительных комментариев для Forbes он отказался.

Речь шла о перечне из трех критериев доверенности ПАК, описанных в приложении №1 к постановлению правительства №1912 от 14 ноября 2023 года, уточнил Forbes источник в «Газпроме», знакомый с ситуацией. Согласно этому перечню, ПАК признается доверенным в случае, если он входит в реестр российской радиоэлектронной продукции, используемое в нем ПО подходит по требованиям для госзаказчиков, и если ПАК обладает документом или сертификатом ФСТЭК или ФСБ, подтверждающими соответствие требованиям этих ведомств «в случае реализации в нем функции защиты информации». Доверенные ПАКи должны преимущественно использоваться в значимых объектах КИИ, как сказано в постановлении, с 1 января 2030 года.

КИИ — это объекты (системы, сети и базы данных), от функционирования которых зависит безопасность государства, национальная экономика и благосостояние граждан. К таковым, в частности, относятся сети операторов связи, банковская, транспортная, энергетическая и транспортная инфраструктура, системы здравоохранения, водоснабжения и водоотведения.

В действующей версии критериев доверенности ПАК говорится, что сертификация комплекса требуется, если в нем реализованы функции защиты информации, к примеру защита системы паролем, рассказал Forbes на полях выставки «Нефтегаз-2026» заместитель директора департамента АСУТП ПАО «Транснефть» Сергей Гохштейн. Таким образом, практически на любой технике, используемой в значимых объектах КИИ, необходимо применять сертифицированные средства, констатирует он. По его оценке, на получение только одного сертификата может потребоваться полтора года и несколько миллионов рублей. Не каждая компания может подать заявку на получение сертификата, для начала ей необходимо получить лицензию на разработку средств защиты информации (СЗИ), добавил он.

«По нашему мнению, сертификат требуется только в случае, если ПАК специально выполняет функцию защиты информации. Специально, подчеркиваю, создан для этого», — говорит Гохштейн. По его словам, такой же позиции придерживаются профильные регуляторы. Кроме того, Минпромторг внес соответствующие изменения в проект постановления правительства №1912, который находится на согласовании, добавил Сергей Гохштейн.

В «Газпроме», по словам источника Forbes, также выступают за то, чтобы «не вводить обязательную сертификацию там, где она не требуется». В управлении информации ПАО «Газпром» не стали это комментировать, но отметили, что компания «выполняет все требования федеральных органов исполнительной власти, в том числе требования постановления правительства №1912 от 14 ноября 2023 года».

Когда планируется принять проект изменений в постановление правительства №1912, в Минпромторге не уточнили. В то же время там пояснили, что требования к ПАК, по сути, были разработаны как «ответ на новые вызовы».

«Ключевая особенность доверенного ПАК заключается в том, что это не просто сумма качественных компонентов, а единое пространство доверия. Безопасность здесь выстраивается сквозная: от аппаратного модуля доверенной загрузки российского производства через системное ПО к прикладным задачам. Платформа должна быть устойчива к широкому спектру кибератак, включая те, что предполагают физический доступ злоумышленника к устройству,  — сообщили в министерстве. — Отдельное внимание должно уделяться функциональной надежности: производительности, отказоустойчивости, возможности горячей замены, поскольку такие решения будут работать в контурах управления промышленностью. С этой целью ведется работа по углублению требований к доверенным ПАК путем введения соответствующей стандартизации и сертификации».

В Минпромторге также напомнили, что госкорпорация «Росатом» в сентябре 2022 года создала АО «Научно-производственное объединение «Критические информационные системы», на базе которого в декабре того же года образован национальный технический комитет по стандартизации ПАК для КИИ и софта для них. Вопросы о сертификации ПАК с функциями защиты информации в Минпромторге оставили без ответа.

«В настоящее время вопросы установления требований к оборудованию, в котором реализованы функции защиты информации, а также оценки соответствия в форме обязательной сертификации отнесены к компетенции ФСТЭК и ФСБ», — пояснили в «Росатоме». В то же время там отметили, что в техническом комитете по стандартизации ПАК отдельная рабочая группа «разрабатывает основные принципы для формирования требований к критериям доверия ПАК и их компонентам, обеспечивающие их технологическую независимость, надежность и функциональную устойчивость при применении в составе объектов КИИ». Для апробации разработанных там подходов в атомной отрасли принят ряд нормативно-правовых актов и создана система добровольной сертификации ИТ-продукции, которую планируется использовать в КИИ. В рамках этой системы «проводится независимое подтверждение продукции установленным требованиям и критериям доверия», сообщили в госкорпорации.

Forbes направил запросы во ФСТЭК, ФСБ, Минэнерго, а также в Минцифры, где переадресовали вопросы в Минпромторг.

Барьер для рынка

По текущим требованиям ФСТЭК, владелец значимого объекта КИИ обязан защищать объект информатизации с использованием сертифицированных СЗИ, рассказал директор департамента «Информационная безопасность» (ИБ) компании «Рексофт» Сергей Бабкин. При этом, по его словам, допускается альтернатива сертификату ФСТЭК в виде оценки соответствия в форме испытаний.

«По нашему опыту, есть субъекты КИИ, в которых такие процедуры организованы, регламентированы и используются. Существует еще один вариант, если функция ИБ выносится в отдельное устройство, уже имеющее сертификат ФСТЭК, то есть используются наложенные СЗИ. Все эти вопросы необходимо решать в рамках проектирования СЗИ значимого объекта КИИ, — рассуждает Бабкин. — Если по результатам проектирования и объективной оценки владелец значимого объекта КИИ приходит к выводу, что оптимальным вариантом является использование встроенного функционала ИБ-оборудования, например АСУ ТП (автоматизированной системы управления технологическими процессами), то тогда требуется сертификация либо оценка соответствия этого функционала. Если у ПАК основная функция — обеспечение ИБ, то это уже, скорее, СЗИ, и оно должно проходить сертификацию как СЗИ по требованиям ФСТЭК, а разработчик должен иметь лицензию на разработку и производство СЗИ».

Сертификация, по его словам, «процесс непростой и занимает не менее года при благоприятных условиях». «Затраты на нее можно оценить в 15 млн рублей. Сертифицировать можно производство или серии устройств», — оценивает Сергей Бабкин. Чтобы требования не стали избыточными, полагает эксперт, «производителям ПАК совместно с владельцами значимых объектов КИИ нужно принимать активное участие в формировании отраслевых стандартов и процессов оценки соответствия в форме испытаний или приемки».

«Требование по обязательной сертификации ПАК в системе ФСТЭК действительно затрудняет с точки зрения сроков реализацию «дорожной карты» по импортозамещению», — рассказывает заместитель генерального директора по АСУ ТП ООО «Ультиматек» Андрей Кондратьев. По его словам, владельцы КИИ могут применять наложенные сертифицированные СЗИ, тем самым закрывая вопрос реализации функции безопасности для конкретного ПАК. Также, по его словам, «сложилась рыночная best practice», что ПАК необходимо сертифицировать на отсутствие в софте программных закладок, уязвимостей и «троянских коней».

«Ключевой проблемой при получении сертификатов ФСТЭК на ПАК является не столько финансовая, сколько организационная и инфраструктурная, — размышляет Кондратьев. — Если говорить о ресурсных затратах, то бюджет на проведение всего комплекса мероприятий по сертификации для вендора или правообладателя является вполне подъемным и составляет в среднем 5–10 млн рублей, это не критическая статья расходов на фоне перспектив вывода продукта на российский рынок. Основная сложность — в длительных сроках, и связано это с крайне ограниченным количеством аккредитованных испытательных лабораторий».

По словам Андрея Кондратьева, в России реально действует не больше пяти лабораторий, имеющих лицензии ФСТЭК на проведение полного цикла испытаний и анализа, включая исследования на наличие недекларированных возможностей. По его мнению, они «хронически перегружены, и это неизбежно растягивает сроки сертификации». «Процесс получения сертификата занимает от полугода до 12 месяцев. Шестимесячный срок достижим лишь в идеальном сценарии, когда доработки требуются по минимуму. На практике же задействуется цикл безопасной разработки (DevSecOps): лаборатория выявляет ошибки в коде, уязвимости или несоответствии синтаксиса, после чего правообладатель направляет продукт на доработку и затем повторно подает его на испытания. Каждый такой круг существенно удлиняет процесс, в результате около года жизненного цикла продукта уходит исключительно на сертификационные мероприятия. За рубежом аналогичные процедуры у регуляторов проходят значительно быстрее, российские сроки сертификации на сегодня — это главный сдерживающий фактор для рынка», — рассказал Андрей Кондратьев. 

По словам эксперта, одним из возможных решений могло бы стать делегирование части полномочий самим правообладателям, но с обязательным использованием сертифицированных инструментов. «Речь о том, чтобы разрешить исследования для получения низших уровней доверия (например, по контролю отсутствия недекларированных возможностей) силами самого вендора при условии, что он применяет специализированное ПО — анализаторы исходного кода, прошедшие сертификацию в системе ФСТЭК», — поясняет он.

По словам Андрея Кондратьева, если бы регулятор на переходный период допустил возможность для лицензиатов ФСТЭК использовать заключения таких сертифицированных инструментов в качестве доказательной базы, это существенно разгрузило бы аккредитованные лаборатории. «Такой подход позволил бы ФСТЭК валидировать результаты работы вендора: регулятор видел бы, что работа по поиску и устранению уязвимостей велась на этапе написания кода, и на этом основании мог бы включать ПО в реестр сертифицированных СЗИ. Однако на сегодня позиция регулятора остается жесткой: монополия на проведение исследований закреплена за горсткой специализированных лабораторий, которых катастрофически не хватает для покрытия потребностей рынка. Именно это противоречие между жесткостью требований и отсутствием мощностей для их реализации создает сегодня основной барьер в выводе на рынок новых доверенных продуктов», — заключает Кондратьев.

Критерии доверенности ПАК в части сертификации относятся к специализированной продукции для защиты информации, например к межсетевым экранам, тогда как к смартфонам они не относятся, пояснил исполнительный директор Ассоциации разработчиков и производителей электроники (АРПЭ, объединяет около 180 компаний, включая T1, SberDevices, МЦСТ) Иван Покровский. «Если серьезно относиться к задачам технологического суверенитета, то нормы ПП-1912 можно воспринимать только как временные. Они допускают использование локализованного оборудования зарубежной разработки из реестра российской продукции в составе доверенных ПАК. Это реальная проблема, а не сложности с сертификацией СЗИ. Все, кто занимается поставками этой продукции, хорошо знают процедуру и успешно ее проходят», — резюмирует Покровский.