Ассоциация разработчиков программных продуктов (АРПП) "Отечественный Софт" направила в федеральную службу по техническому и экспортному контролю (ФСТЭК) России письмо с предложением разработать стандарты и требования к новым классам СЗИ. В письме указаны три стандарта отечественного программного обеспечения (ПО), которые до сих пор не регулируются: средства управления инцидентами информационной безопасности (SOAR/IRP), средства управления информацией об угрозах безопасности информации (TIP, UEBA), средства автоматизации управления процессами информационной безопасности (SGRC).
"В силу отсутствия требований по безопасности информации к перечисленным классам ПО возникает ситуация, при которой организации допускают использование opensource-решений из недружественных стран, продолжают эксплуатацию зарубежных решений, что увеличивает риски информационной безопасности, или нерационально тратят ресурсы, разрабатывая продукты при наличии имеющихся на рынке", - отметил член правления АРПП "Отечественный Софт" Олег Кравчук.
Эксперты ассоциации отметили, что совместно с ведомством готовы присоединиться к разработке соответствующих документов и участвовать в формировании перечня реализуемых данными средствами функций безопасности. Документы обеспечат систематизацию и упорядочивание требований для соответствующих типов СЗИ и их функций безопасности, необходимых для обеспечения защиты объектов КИИ, ГИС, АСУТП, ИСПДн.
Генеральный директор АО "Инфозащита" (iTProtect) Андрей Мишуков считает предложение АРПП правильным и своевременным: "Важно учитывать, что любые требования и ограничения нужны для каких-то конкретных целей. В письме АРПП заявлено, что регулирование позволит производителям средств защиты информации учитывать предъявленные требования в разработке ИБ-продуктов и потом сертифицировать их в системе ФСТЭК России. Потребителям эти требования предоставят понятные критерии для выбора средств защиты в зависимости от типа и уровня критичности защищаемого объекта и обрабатываемой информации. По этим критериям клиент сможет выбрать то или иное средство защиты и упростить себе жизнь. В этом плане предложения АРПП очень полезны".
Директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний "Гарда" Павел Кузнецов рассказал, какие еще классы ПО нуждаются в нормативно-правовом регулировании: "Нуждаются в выработке правовые нормы внедрения ПО, использующего искусственный интеллект (ИИ). Не средств защиты информации, а именно систем, использующих ИИ, в том числе большие генеративные модели. В первую очередь это нормы безопасности, начиная с вопроса "можно ли в конкретной сфере вообще внедрять подобное ПО или его применение стоит ограничить". Одним из соответствующих ограничений может стать необходимость обезличивания наборов данных, к которым системы ИИ получают доступ для текущей работы или в рамках обучения".
Павел Королев