188-ФЗ И ПЕРСПЕКТИВЫ РОССИЙСКОГО ПО ДЛЯ СИСТЕМ БЕЗОПАСНОСТИ


Скачать

Лёвин Сергей Николаевич
главный конструктор ГК СИГМА

29 июня 2015 года президентом был подписан федеральный закон 188-ФЗ, очередной из серии законодательных актов об импортозамещении. Причем в этот раз речь идет не о сыре или красной рыбе, а о программном обеспечении для ЭВМ. Вступить в силу закон должен с 1 января 2016 года. Если закон будет действительно выполняться, он самым серьезным образом затронет всю российскую IT-индустрию. Мы же попробуем разобраться, как 188-ФЗ может повлиять на отрасль технических средств безопасности.

ОСНОВНЫЕ ОГРАНИЧЕНИЯ, ОПРЕДЕЛЯЕМЫЕ ЗАКОНОМ

Суть закона отражена всего в двух статьях: что нужно сделать, чтобы доказать, что программа имеет отечественное происхождение, и что будет, если доказать это не удастся.

Самый первый и ключевой, в общем-то, пункт закона предписывает создание единого реестра российских программ для электронных вычислительных машин и баз данных. Вот этот реестр и должен выполнять заградительную функцию для программного обеспечения зарубежного происхождения. Программы для электронных вычислительных машин и базы данных, сведения о которых включены в реестр российского программного обеспечения, признаются происходящими из Российской Федерации.

Формирование и ведение реестра отечественного программного обеспечения осуществляется Минкомсвязи России. Причем для ведения реестра регистратор вправе нанять частного оператора - российскую коммерческую организацию или российское некоммерческое партнерство или ассоциацию IT-компании. Регистрация в реестре является добровольной и не носит характера правоустанавливающей регистрации исключительного права на ПО.

Попробуем прокомментировать требования к компаниям и ПО, определяющие вступление в реестр:

■ Исключительное право на программу принадлежит российской компании, в которой доля российского капитала составляет более 50% или гражданину РФ. - Данное требование, в общем-то, не является камнем преткновения для иностранных компаний, имеющих в России представительство с правильными долями в его уставном капитале.

■ Программа свободно реализуется на всей территории Российской Федерации. - В этом пункте кроется подвох для тех компаний, которые могут предоставить юридическое лицо, удовлетворяющее первому пункту, но поддерживают западные санкции в отношении Крыма, и тогда в реестр путь им окажется закрыт.

■ Общая сумма выплат по лицензионным и иным договорам, предусматривающим предоставление прав на результаты интеллектуальной деятельности и средства индивидуализации, выполнение работ, оказание услуг в связи с разработкой, адаптацией и модификацией программы и для разработки, адаптации и модификации программы, в пользу иностранных юридических лиц и (или) физических лиц, контролируемых ими российских коммерческих организаций и (или) российских некоммерческих организаций, агентов, представителей иностранных лиц и контролируемых ими российских коммерческих организаций и (или) российских некоммерческих организаций составляет менее тридцати процентов от выручки правообладателя (правообладателей) программы. -Этот пункт ставит под удар значительное количество компаний, имеющих свои представительства в России и занимающихся дистрибуцией иностранного ПО. В большинстве случаев размер отчислений за границу у данных компаний выше 30%.

Вторая статья содержит следующий текст: «В целях защиты основ конституционного строя, обеспечения обороны страны и безопасности государства, защиты внутреннего рынка Российской Федерации, развития национальной экономики, поддержки российских товаропроизводителей нормативными правовыми актами Правительства Российской Федерации устанавливаются запрет на допуск товаров, происходящих из иностранных государств, работ, услуг, соответственно выполняемых, оказываемых иностранными лицами, и ограничения допуска указанных товаров, работ, услуг для целей осуществления закупок. В случае, если указанными нормативными правовыми актами Правительства Российской Федерации предусмотрены обстоятельства, допускающие исключения из установленных в соответствии с настоящей частью запрета или ограничений, заказчики при наличии указанных обстоятельств обязаны разместить в единой информационной системе обоснование невозможности соблюдения указанных запрета или ограничений. Порядок подготовки и размещения обоснования невозможности соблюдения указанных запрета или ограничений в единой информационной системе, а также требования к его содержанию устанавливаются Правительством Российской Федерации. Определение страны происхождения указанных товаров осуществляется в соответствии с законодательством Российской Федерации».

Проще говоря, в применении к нашему случаю, если программа не находится в реестре программ, ее нельзя использовать для государственных закупок. Государственный или муниципальный заказчик при осуществлении закупок обязан руководствоваться, в первую очередь, реестром российских программ. Исключения допускаются только в случаях:

■ Если в реестре российских программ отсутствуют сведения о ПО, соответствующем классу планируемого к закупке ПО.

■ Если ПО из реестра российских программ обеспечения соответствует классу планируемого к закупке ПО, но по своим функциональным, техническим и (или) эксплуатационным характеристикам не соответствует требованиям к планируемому к закупке ПО, установленным заказчиком.

■ Если исключительное право на планируемое к закупке ПО принадлежит юридическому лицу, образованному в соответствии с законодательством РФ, и сведения о таком ПО и (или) о закупке составляют государственную тайну.

Как видим из вышеизложенных исключений, остается довольно много способов все-таки провести закупку ПО не из реестра. Как минимум, в ТЗ на закупку указать такой набор характеристик, который бы однозначно выводил на желанный продукт. Но это уже отдельная тема, обсуждать которую мы здесь не будем. В конце концов, если государство захочет, то закон заработает.

На коммерческие компании и физических лиц формально эти ограничения не распространяются. Но уже сейчас скорее всего эти ограничения коснутся крупного бизнеса с государственным участием. Государство скажет: «Надо!» - банкиры и нефтяники ответят: «Есть!» (не забыв, конечно, попросить финансовой помощи из государственного кармана).

Но, возможно, в дальнейшем появятся ограничения для любых структур. Это может быть сделано в рамках нового закона или как с продуктами, не соответствующими нашим санитарным нормам, - «Windows 10 содержит вредоносный код» - и запрет использования на всей территории России.

КАК ВСЕ ЭТО КОСНЕТСЯ НАШЕЙ ОТРАСЛИ?

Если говорить про программное обеспечение, то по-крупному его можно разделить на две большие категории: прикладное и системное.

С отечественным прикладным ПО для систем безопасности в целом и так все в порядке. Оно есть, используется и развивается. Но есть одно «но»: в 95% случаев (а может и в 99%) наше российское программное обеспечение работает под управлением ОС Windows (операционная система здесь и есть системное ПО). Операционная система Windows, как известно, продукт американской корпорации Microsoft. Соответственно, ограничение на использование зарубежной операционной системы повлечет за собой невозможность использования прикладных программ, написанных для нее.

Во всем остальном мире есть два больших лагеря прикладного ПО: написанного для Windows и Linux. Unix и Linux - подобные операционные системы ценятся за стабильность и надежность работы. Программа, написанная для работы под управлением Linux имеет хотя бы то преимущество, что в большинстве случаев можно использовать бесплатный вариант операционной системы и в целом, при внедрении системы, на этом сэкономить. В России часто этот аргумент не срабатывает, потому что до сих пор еще довольно много применяется пиратских программ. Однако, в силу большей рапространенности и известности у нас Windows, стоимость разработки, внедрения и эксплуатации прикладных программ для этой операционной системы оказывается ниже. Есть еще целый ряд причин, но и указанных двух достаточно для господствования Windows как базовой операционной системы для прикладного ПО.

Естественно, что при ограничении использования Windows разработчики прикладного ПО должны найти альтернативу. Варианты есть, это бесплатные сборки Linux или отечественные операционные системы, базирующиеся также на основе Linux. Использование opensource вариантов Linux чревато проблемами с информационной безопасностью, а также отсутствием каких-либо сертификатов и гарантированной технической поддержки.

В настоящее время в России есть несколько сертифицированных отечественных операционных систем: МСВС производства ОАО ВНИИНС, Astra Linux -ОАО РусБиТех, «Эльбрус» - ЗАО МЦСТ. Очевидно, что перспективная разработка прикладного ПО верхнего уровня для систем физической безопасности и технических средств охраны объектов будет вестись для работы под управлением именно этих ОС.

Правда нужно признать, что разработчиков, привыкших программировать по Windows, ждет множество сюрпризов.

Самая известная наша операционная система, по крайней мере у военных, это МСВС. Это и понятно, так как в свое время Мобильная Система Вооруженных Сил была разработана по заказу и на средства Министерства Обороны РФ. Однако наши военные почему-то решили, что разработка операционной системы это единовременная работа: один раз сделал и пользуйся потом всю жизнь. После выполнения основного проекта ОКР по МСВС финансирование этого направления было, судя по всему, существенно сокращено. Но современная ОС - не автомат Калашникова, который можно выпускать 50 лет без изменений. Операционная система - продукт скоропортящийся, он требует постоянного внимания. Прежде всего это связано со стремительным развитием и постоянным обновлением аппаратных платформ ЭВМ. Операционная система, как известно, это посредник между компьютерным железом и прикладной программой. ОС убирает для прикладных программ зависимость от набора оборудования, на котором они выполняются. Однако сами ОС при этом должны уметь работать со всем многообразием материнских плат, жестких дисков, графических, звуковых и сетевых адаптеров и т.д. Для этого в состав операционной системы или в комплект поставки вышеперечисленных аппаратных компонентов ЭВМ должны входить соответствующие драйверы, которые позволяют операционной системе и через нее прикладным программам корректно работать с тем или иным оборудованием. Обычно драйверы устройств под определенную ОС разрабатывают сами производители оборудования. Понятно, что они будут это делать для каждой ОС только в случае, если это им выгодно. Когда речь идет о Windows - все понятно, миллионные тиражи,огромный рынок сбыта. В нашем случае ничего подобного пока не наблюдается, поэтому крупные вендоры аппаратных компонентов не заинтересованы в разработке драйверов для специализированных и малотиражных операционных систем. Можно получить от вендора исходный код драйвера и скомпилировать его самому разработчику ОС, но тут скорее всего много вопросов по охране интеллектуальной собственности и достижению таких договоренностей с огромным количеством производителей железа. Кроме того, если драйвер присутствует у разработчика ОС только в бинарном виде, возникнут вопросы при сертификации операционной системы, так как проверить программный код такого драйвера на отсутствие недекларированных возможностей уже не получится. Вот и выходит, что поддержка актуальности ОС по отношению к аппаратному обеспечению ЭВМ - это кропотливый ежедневный труд большой команды высококвалифицированных специалистов, который должен кем-то оплачиваться.

Вторая проблема связана с поддержкой в ОС инструментальных средств разработчика прикладных программ. Ведь чтобы разрабатывать конкурентоспособное прикладное ПО в составе операционной системы, должен быть доступен богатый набор различных функциональных библиотек и утилит. В современных условиях программы, как правило, не пишутся с нуля, они опираются на функционал различных фреймворков, API и SDK. Программист в наши дни привык иметь комфортные воркспейсы для написания и отладки кода. Все это тоже в операционной системе само не появится, а раз появившись, через пару-тройку лет безнадежно устареет. В общем, что говорить, для поддержания ОС нужны огромные средства. И это все только окружение. Для справки, стоимость разработки ядра операционной системы Linux оценивается сейчас намного больше миллиарда евро, а только ежегодный прирост стоимости ядра превышает сто миллионов евро. Поэтому ядро Linux и разрабатывается буквально всем миром. В итоге, если вернуться к МСВС, то сейчас эта система кажется несколько устаревшей.

При работе с Astra Linux у прикладного программиста, да и у простого пользователя возникают уже более положительные реакции. Astra предлагает намного более современный, как программный, так и пользовательский интерфейсы. В обоих случаях отставание от привычного Windows конечно заметное, но уже не такое бесконечное. Astra Linux, в отличие от МСВС, это коммерческий, а не государственный проект, и по опыту работы с обеими системами я в полной мере ощутил превосходство модели рыночной экономики над советско-плановой. При этом Astra Linux имеет все необходимые сертификаты для работы с информацией до уровня «совершенно секретно». Возможно, это мои субъективные оценки, но весь последний год я провел в работе с ОС МСВС 3.0, МСВС 5.0 и Astra Linux 1.3 релизы «Смоленск» и «Орел» и могу смело высказать свое оценочное суждение - Astra рулит.

Отдельный разговор - это аппаратно-программная платформа «Эльбрус». Да-да, и аппаратная тоже! Вот где импортозамещение произведено, что называется, по полной программе. В этом году у нас был один проект с военными, где они в системе безопасности запретили использовать не только Windows, но и аппаратную PC-платформу - замещать, так замещать! После недолгих поисков мы нашли и познакомились с «эльбрусовцами». У этих ребят есть не только своя операционная система, но и свой собственный процессор, со своей собственной архитектурой. В общем, все свое. То есть наше, отечественное. Снимаю шляпу. Правда, если опыт работы с МСВС и Astra Linux был у нас положительный, то с «Эльбрусом» скорее интересный. Пока там вопросов больше, чем ответов. Железо очень дорогое, но это и понятно, какие тиражи выпуска, такая и цена. С ростом объемов производства и стоимость упадет. Главное, чтобы у нашего правительства интерес к подобным отечественным решениям не пропал еще раньше. Ведь мы же хотим все и сразу, и чтобы не хуже чем «у них». Будет и не хуже, вот только не сразу. Хватит ли терпения и мудрости у наших властителей? Очень бы хотелось. Увидеть реально работающую, надежную, конкурентную по цене и функциональности систему на базе российского программного обеспечения под управлением российской операционной системы на российской аппаратной платформе. Утопия? Посмотрим. По крайней мере, все программные проекты нашей компании на МСВС и Astra в этом году стали успешными.

Источник: Журнал «Алгоритм Безопасности» № 5, 2015 год.

Архив публикаций