В начале июля состоялось обсуждение темы «Импортозамещение технологий в стратегических информационных системах. Законодательные акты», инициированное Комиссией по нормативно-правовому обеспечению развития наукоемких технологий стратегических информационных систем при Комитете Государственной Думы по науке и наукоемким технологиям. В рамках этого собрания с изложением своего видения проблемы выступил ряд приглашенных экспертов, в том числе заместитель начальника Центра Федеральной службы безопасности Николай Мурашов. Он представил интересный анализ ситуации, отразивший сложность и противоречивость темы.

В самом начале докладчик, в частности, отметил неопределенность самого понятия «стратегическая информационная система» — такого термина сегодня нет в нашей законодательной базе. Хотя ясно, что речь идет о некоторых критически важных для жизнедеятельности государства ИС, все же понятие это нуждается в четкой формулировке, чтобы определить, какие именно системы подпадают под нормативно-законодательные требования.

Перейдя к теме импортозамещения, Николай Мурашов подчеркнул, что вопросы информационной безопасности — это лишь один из компонентов более общей проблемы обеспечения безопасности национальной, где есть и другие аспекты, такие как экономическая и технологическая безопасность. И принципиально важным здесь является то, что все эти элементы безопасности взаимосвязаны, их нужно рассматривать в комплексе, не вырывая тот или иной аспект из общего круга вопросов.

Как уже не раз отмечалось ранее, в обсуждении темы импортозамещения основные акценты обычно сосредоточены в сфере ПО. Обращая внимание на этот момент, представитель ФСБ указал, что создание отечественного ПО во всей его совокупности, начиная от операционных систем и заканчивая прикладными программами, проблемы информационной и национальной безопасности не решает. Если мы хотим достичь полной независимости в сфере ИТ, то нужно обеспечить не только создание собственных аппаратных средств, но и производство микроэлектронной элементной базы. А последнюю задачу, в свою очередь, невозможно решить в отсутствие соответствующего машиностроения.

Исходя из этих тезисов был сделан вывод о том, что задачи импортозамещения должны решаться пошагово, а формулируемые для этой сферы программы должны иметь многослойный характер. «Требуются короткие шаги, которые могут быть реализованы за быстрый период и, может быть, даже в кратчайшее время. И одновременно необходимо запланировать те шаги, которые позволят решить эту проблему в комплексе, — отметил докладчик. — В целом комплексное решение потребует сильных государственных вложений, но не решив проблему в комплексе, мы спокойно жить не сможем. Даже если мы научимся производить соответствующие устройства, то в любой момент, если будут отрезаны поставки чипов, производство может быть закрыто. Нельзя разделять аппаратные и программные средства, все это должно стать некой единой материей. Безопасности только программных средств не существует, потому что есть еще и проблема BIOS». Что касается вопросов изучения исходных кодов, то они сегодня решаются в отношении определенных видов ИТ-продукции иностранного производства, но, как подчеркнул выступавший, дело это весьма сложное и трудоемкое.

Далее Николай Мурашов затронул такой важный аспект проблемы импортозамещения, как экономическая эффективность: «Если мы будем решать эти вопросы только в рамках оборонных отраслей промышленности, это окажется очень дорого. Мы все время должны думать о типовом применении создаваемых технологий и продуктов. Не обязательно ставить это во главу угла в настоящий момент, но все же нужно видеть перед собой цель, понятную государственным организациям и в первую очередь нашему оборонному ведомству, и одновременно с этим развивать соответствующие программы двойного назначения».

Решая вопросы импортозамещения, нельзя забывать о том, что мировой ИТ-рынок является глобальным, основанным на глубокой системе международного разделения труда, среди участников которой значится и Россия. В такой ситуации очень важным аспектом обеспечения ИТ-независимости страны докладчик считает развитие экспортной составляющей. Он выразил согласие с тезисом о том, что государство должно определенным образом поддерживать это направление работы.

Однако, по его мнению, наша экспортная составляющая во многом теряется в международных организациях, в том числе в Международном союзе электросвязи и ISO: «Я не видел в ISO ни одного стандарта, выдвинутого из России. В нашей стране стандарты ISO есть, а вот там наших стандартов нет». Но тут возникает вопрос: кто именно должен заниматься продвижением российских стандартов в международные структуры? Как утверждает докладчик со ссылкой на мировой опыт, это должны делать частные организации, а не государственные: «У нас немало самодеятельных объединений, на Западе их мнение ценится более высоко, чем мнение сугубо государственных структур, поскольку там принята, если так можно выразиться, холдинговая модель: государство, гражданское общество и бизнес. Стандарты принимаются там, где право голоса принадлежит не государству, а бизнес-структурам. Так вот, нашего бизнеса на международных площадках я практически не вижу, его там как бы и нет, он не отстаивает свои интересы. А в это время в том же Международном союзе электросвязи принимаются стандарты, которые ограничивают права российских производителей. Так что, конечно, государство должно определенным образом оказывать экспорту поддержку, но и самим бизнес-структурам следует активнее выступать на международной арене, чтобы те правила, которые там формируются, создавались и в интересах российского бизнеса. Более того, именно на основе инициатив отраслевых организаций можно было бы вносить изменения и в существующее национальное законодательство».

Возвращаясь к теме собственно информационной безопасности, Николай Мурашов подчеркнул, что ключевым элементом ее обеспечения является система сертификации ПО на основе верификационных исследований, в том числе на предмет наличия разного рода «закладок». Сегодня акцент в этой сфере делается в основном на изучение зарубежного ПО, но такая постановка вопроса неверна, поскольку стандарты безопасности должны применяться к любым ИТ независимо от их национального происхождения, ведь отечественные закладки представляют такую же опасность, как и иностранные. За примером тут не нужно далеко ходить: получение сертификатов по безопасности является обязательным для любого ПО, претендующего на использование в критически важных системах. «Мне самому известны случаи, когда наш производитель искусственно вставлял закладочку в программное обеспечение, и если деньги не поступали, то соответствующее оборудование переставало работать», — поделился своим опытом представитель ФСБ.

Кто и как должен проводить такие верификационные исследования? Отвечая на этот вопрос, докладчик выдвинул мысль о том, чтобы такой работой занимались общественные отраслевые структуры, в том числе бизнес-ассоциациии, а разработчики предоставляли бы им свои продукты для изучения на добровольной основе. По его мнению, именно такой механизм может быть использован для сертификации ПО с целью получения титула «отечественное». Впрочем, далее он отметил, что создание такого механизма верификации — задача очень сложная, хотя и реализуемая технически: «Если бы у нас была налажена система сертификации российского ПО на принципах некоторой саморегулирующейся структуры, то можно было бы снять опасения в отношении отечественных разработок, можно было бы действительно говорить о преференциях российскому разработчику».

Николай Мурашов согласился с тем, что сегодня одной из первоочередных задач является разработка критерия, позволяющего однозначно говорить об отечественном программном обеспечении. Но при этом высказал мнение, что с ходу эту задачу решить нельзя. «В данном вопросе общество должно консолидироваться, а пока разброс мнений по поводу того, что такое отечественное ПО, слишком велик. Но задача выработки единой компромиссной точки зрения на проблему решаема именно путем широкой дискуссии».


Версия для печати (без изображений)