Доверенный ПАК КИИ

Нет, это статья не про одного из соратников Ким Ир Сена. Она про новый статус российских программно аппаратных комплексов, предназначенных для работы на объектах критической информационной инфраструктуры. Доверенный ПАК воплощение российского чучхе. Также расскажу зачем получать статус ДПАК, про субъекты и объекты КИИ с примерами и новый предварительный национальный стандарт.

1. Что такое доверенный ПАК
2. Что такое субъект критической информационной инфраструктуры и значимый объект КИИ
3. Зачем подтверждать статус доверенного ПАК
4. ПНСТ “Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения”

В ноябре 2023 года было принято ПП РФ 1912, которое устанавливает следующее определение. ПАК – это радиоэлектронная продукция (в том числе ТОРП) , ПО и технические средства, работающие вместе для решения одной или нескольких сходных задач. Функционально-технические характеристики комплекса задаются исключительно совокупностью программного обеспечения и РЭП и не могут быть реализованы при их разделении.

Для признания же ПАК доверенным необходимо выполнить ряд требований:

• ПАК находится в реестре радиоэлектронной продукции
• программное обеспечение ПАК зарегистрировано в реестре российского ПО или в реестре программ для ЭВМ и БД ЕАЭС
• если программно-аппаратный комплекс реализует функцию защиты информации, то должен иметь сертификат ФСТЭК и/или ФСБ.

Следует понимать, что в рамках ПП РФ 1912 любая радиоэлектронная продукция, для работы которой требуется ПО будет считаться ПАКом. При включении же в реестр Минпромторга согласно кодам ОКПД 2 и ТН ВЭД название не будет содержать упоминание ПАК (описание кодов под новую терминологию, очевидно, не адаптировано).

Новый тип программно-аппаратных комплексов является частным случаем ПАК, регистрируемых Минцифры (гайд по процедуре). Отличие в более жестком требовании к аппаратной части комплекса – обязательное включение в реестр радиоэлектронной продукции.

Пока реестра доверенных ПАК нет, но скорее всего для удобства поиска таких решений он появится. Напрашивается вариант с двухуровневой системой внутри действующего реестра Минцифры, как это планируется для ПО.

Далее необходимо пояснить терминологию и привести примеры объектов и субъектов КИИ. В противном случае, будет трудно понять для чего новый тип ПАК введен, и в чем заключаются планы правительства.

Субъект КИИ – это государственные органы и учреждения, ЮЛ и ИП, которые владеют или обеспечивают взаимодействие информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления из сфер:

• здравоохранения
• науки
• транспорта
• связи
• энергетики
• государственной регистрации прав на недвижимое имущество и сделок с ним
• банковской сфере и иных сферах финансового рынка
• топливно-энергетического комплекса
• в области атомной энергии
• оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности

В качестве примеров субъектов можно привести Банк Тинькофф, любая государственная поликлиника, научный центр, Минцифры, компания Новатэк, ФИПС, Калининская Атомная Электростанция. Давайте в качестве примера выберем Калининскую АЭС.

Объекты КИИ – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, которые используются субъектами КИИ. А КИИ – это совокупность объектов и средств связи между ними. Для Калининской АЭС это будут:

• системы информационной поддержки процессов принятия решений оператором АЭС
• Международная информационная система по опыту эксплуатации (МИС)
• Информационной системы поддержки эксплуатации (ИС ПЭ) АЭС
• ПК «АтомСмета»
• «Система видеоанализа соблюдения техники безопасности и промышленной безопасности»
• автоматическая система управления паровой турбины
• защищенные сети передачи данных и другие

Значимые объекты КИИ – объекты КИИ, которым присвоена одна из трех категорий значимости и которые включены в реестр ЗО КИИ.

Процедура категорирования значимости объектов лежит на плечах субъектов КИИ. После согласования и утверждения перечня значимых объектов сведения вносятся в реестр ЗО КИИ ФСТЭК (Федеральная служба по техническому и экспортному контролю). Реестр засекречен.

В упомянутом выше постановлении 1912 устанавливаются правила перехода субъектов КИИ на доверенные ПАК на принадлежащих им значимых объектах КИИ.

• С 1 сентября 2024 года для ЗО КИИ можно закупать только ПАК, удовлетворяющие требованиям доверенных, кроме случая отсутствия российских аналогов. Для подтверждения необходимости закупки иностранного ПАК необходимо получить заключение Минпромторга об отсутствии аналогов в реестре российской радиоэлектронной продукции по правилам ПП 1135.
• Ответственными за переход назначаются Министерства и ведомства в соответствии с сферой деятельности. Для нашего примера Калининской АЭС таким ответственным будет “Росатом”.
• до 1 сентября Госкорпорация “Росатом” и другие ведомства должны назначить ответственных лиц и утвердить планы перехода на доверенные российские ПАК.
• Полный переход планируется до 1 января 2030 года.

Количество объектов КИИ по подсчетам составляет более 50 тысяч. Производители, которые подтвердят соответствие своих товаров требованиям к доверенным ПАК, смогут получить минимальную конкуренцию на рынке закупок для КИИ.

В начале февраля 2024 года был опубликован данный документ, разъясняющий термины относящиеся к доверенным ПАК и их компонентам.

Из интересного: вводятся понятия требований к ДПАК по функциональности, надежности и защищенности. Также, ключевое техническое решение (КТР) – устройство, ПО или стадия жизненного цикла ПАК (например, разработка или тестирование) , которая важна для поддержания технологической независимости КИИ, функциональности, надежности и защищенности.

В документе описывается что такое полигон для испытаний ПАК:

• система, состоящая из технических средств
• квалифицированного персонала
• и мер организационных, методических и программного обеспечения

Со стороны программной части комплексов, также вводятся ряд терминов:

• ПО для ДПАК – совокупность программ и документации, необходимых для эксплуатации и обеспечивающих функционирование доверенного ПАК.
• Встроенное ПО – ПО, реализующее функционирование элементов электронной компонентной базы и не являющееся средой исполнения для других типов ПО.
• Системное ПО – ПО, обеспечивающее функции управления ПАК в целом и отдельными элементами, вместе с тем реализующее функционирование прикладного и/или специального ПО.
• Прикладное ПО – как ни странно, ПО, обеспечивающее выполнение прикладных задач.
• Специальное ПО – ПО, применяемое только в конкретном ПАКе или системе на его основе и выполняющее заданные функции, в том числе без применения системного ПО.
• Репозитарий ПО для ДПАК – инфраструктура разработки ПО с возможностью сборки, поддержки, хранения и верификации исходного кода, программных пакетов и библиотек, находящаяся в РФ и технологически не зависящая от зарубежных депозитариев и созданных на их основе дистрибутивов.

Выводы:

Термины, введенные данным стандартом в будущем должны появиться в 719, 1236, 616, 617 Постановлениях Правительства РФ и других документах. Это приведет к более глубокому и детальному описанию требований, критериев для радиоэлектронной продукции и программ для включения в реестры Минпромторга и Минцифры.

Цель Правительства по полному переходу на отечественные аналоги на объектах критической информационной инфраструктуры к 2030 году выглядят оптимистичной. Особенно по “железу”, для которого в некоторых сферах пока есть только планы по созданию высокотехнологичных производств. Российским производителям данные меры позволят строить планы по увеличению локализации производственных цепочек в России.

По вопросам регистрации ПАК и внесению промышленной или радиоэлектронной продукции в реестр Минпромторга обращайтесь в телеграм специалиста или через форму на нашем сайте.

Подписывайтесь на наш телеграм, чтобы быть в курсе последних изменений по внесению в реестры и получать оперативные ответы экспертов.