Ведомство Николая Никифорова предлагает запретить госкомпаниям, органам государственной власти и органам местного самоуправления пользоваться софтом, не соответствующим требованиям безопасности. А вот безопасное программное обеспечение министерство предлагает называть "доверенным". Более точные критерии этого определения ведомство рассчитывает разработать вместе с Федеральной службой безопасности и Федеральной службой технического и экспортного контроля. Фактически ведомство планирует составить два списка софта: один будет включать запрещенные продукты, не соответствующие требованиям безопасности, другой - доверенное ПО (оно может быть как отечественным, так и зарубежным).
Источник в Минкомсвязи подтвердил подлинность письма, а представитель Минпромторга сообщил, что ведомство уже получило документ и будет его изучать.
Заняться терминологией Минкомсвязи поручила администрация президента: еще с начала лета она озаботилась вопросом импортозамещения и локализации конкурентного производства.
В письме не указаны конкретные критерии и определение доверенного софта. Это употребимый термин, под которым следует понимать софт, гарантированно защищенный от любых закладок, включая неумышленные, объясняют руководитель Экспертного центра электронного государства Павел Хилов, а также управляющий директор "Лаборатории Касперского" в России и странах Закавказья Сергей Земков. В зависимости от критичности сферы применения (например, атомная станция или завод легкой промышленности) должны быть сформулированы уровни требований к программному обеспечению, считает Хилов. Идея доверенного ПО жизнеспособная, рассказывает гендиректор InfoWatch Наталья Касперская. Но проверка оборудования на отсутствие закладок, по ее словам, дорогая, сложная и затратная. Доверенное ПО должно устанавливаться на предприятиях, работающих с гостайной, или критически важных государственных объектах инфраструктуры, полагает Касперская. Дело в том, что для критических объектов инфраструктуры безопасность доминирует над удобством, а в бытовой жизни - наоборот, добавляет она. Например, заменить на всех компьютерах страны операционную систему с Windows на Linux будет означать существенное снижение удобства пользователя, приводит она пример.
По словам Хилова, к каждому уровню безопасности ПО формируются детальные требования - какая операционная система должна стоять на компьютере разработчиков, в какой программной среде писать код, нужно ли отключать программистов от интернета. Плюс, резюмирует Хилов, обязательно должны быть определены требования к месту разработки и персоналу, который обычно и является самым слабым звеном.
Инициатива и требования к разработке доверенного софта должны идти не от ассоциаций и коммерческих компаний, а от органов госбезопасности, считает исполнительный директор Ассоциации разработчиков программных продуктов Евгения Василенко. По ее мнению, доверенный софт обязательно должен быть отечественным. Минкомсвязи предлагает определение отечественного программного обеспечения в своем письме. Ведомство предлагает установить 15%-ную ценовую преференцию при закупке отечественного ПО. В случае закупки иностранного софта при наличии отечественных аналогов нужно будет написать обоснование и разместить на публичном портале, говорится в документе. Для поддержки отечественной продукции министерство предлагает обеспечить минимальные квоты для органов государственной власти и органов местного самоуправления. Госкомпании и органы государственной власти должны будут отчитываться перед Минкомсвязи о соотношении используемой в работе иностранной и отечественной IT-продукции.
Павел Кантышев