изображение создано нейросетью
Развитие российского сегмента доверенных программно-аппаратных комплексов (ПАК) — тема, которая сегодня волнует ИТ-рынок и заказчиков. В условиях импортозамещения и повышенных требований к безопасности критической инфраструктуры ПАКи становятся ключевым элементом технологического суверенитета страны. О том, как обстоят дела в этом сегменте, какие вызовы и перспективы видят участники рынка, IT-World обсуждал с ведущими экспертами в ходе круглого стола.
В обсуждении приняли участие:
Содержание:
Что происходит с российскими ПАКами?
Первым вопросом круглого стола стало текущее состояние рынка. Доверенных ПАКов пока немного. Виртуализация в России активно развивается, но комплексные решения пока только набирают зрелость. Особенно это касается тех решений, которые подходят для критической информационной инфраструктуры (КИИ) и государственного сектора.
Валентина Кулагина отметила, что в 2023 году на рынке насчитывалось чуть более 100 ПАКов, а к 2024 году эта цифра выросла до 470. Причем динамика регистрации решений значительно ускорилась, особенно в ключевых реестрах Минцифры РФ и Минпромторга РФ, в которых насчитывается 43 ПАКа Минпромторга против 470 в Минцифре
Как меняется структура ПАКов?
Если в 2023 году наибольший рост наблюдался в сегменте обработки больших данных, то в 2024-м на первый план вышли решения для маршрутизации и коммутации. Также заметно увеличилось количество комплексов для управления технологическими процессами. По словам Валентины Кулагиной, рынок активно ориентируется на перечень приоритетных решений от Минцифры, опубликованный в начале года.
Рост числа ПАКов: причины, тенденции и зрелость
Эксперты отметили резкий рост числа зарегистрированных программно-аппаратных комплексов. Как пояснила Анна Арутюнова, это связано с необходимостью обновления инфраструктуры у заказчиков. Многие существующие мощности устаревают и не соответствуют требованиям импортонезависимости. ПАКи решают эту проблему, предлагая комплексные решения, включающие и аппаратную, и программную составляющую. «Мы готовы предоставлять комплексные предложения, то есть заказчик в одном окне получает полный сервис и по аппаратной части, и по софтверной», — сказала Анна Арутюнова.
Антон Кузнецов уточнил, говоря о небольшом количестве ПАКов, он имеет в виду сегмент виртуализации. Если же рассматривать рынок в целом, решений значительно больше, но среди них есть ограниченный круг наиболее зрелых продуктов, которые чаще всего выбирают заказчики.
Как определяется зрелость ПАКов?
На вопрос о критериях зрелости Антон Кузнецов ответил, что рынок сам определяет лидеров. Конкуренция и обратная связь заказчиков позволяют понять, какие решения действительно востребованы и технологически развиты.
Что такое доверенные ПАКи и где они востребованы?
В ходе обсуждения прозвучал важный вопрос о том, как определить, какие ПАКи можно считать доверенными. Пока нет единого четкого определения, но, как отметил Антон Кузнецов, ключевым критерием является наличие записей в соответствующих реестрах – как на программную, так и на аппаратную часть. Для решений, работающих с критической информацией, требуется дополнительная сертификация, в том числе в ФСТЭК.
Эти вопросы вызвали дискуссию среди участников, ведь официальное наличие в реестре – лишь формальный показатель. Что действительно делает ПАК доверенным? Ответ на этот вопрос оказался далеко не столь однозначным.
Какие реестры определяют доверенность ПАКов?
В ходе дискуссии возникли разногласия по поводу значимости реестров Минцифры и Минпромторга. Михаил Гилязов выразил мнение, что многие участники рынка ошибочно считают лидирующим реестр Минцифры. «Это реестр для производителей, обеспечивающий им государственные льготы. А вот реестр Минпромторга ориентирован на потребителей и служит основой для закупок по федеральным законам», — отметил он.
При этом сам факт включения ПАКа в реестр Минцифры не делает его автоматически отечественным с точки зрения законодательства о закупках. Критерии доверенности, по словам Михаила Гилязова, четко прописаны в постановлении правительства №1912 «О порядке перехода субъектов критической информационной инфраструктуры (КИИ) РФ на преимущественное применение доверенных ПАКов на принадлежащих им значимых объектах КИИ РФ». Они включают три обязательных условия:
- Программно-аппаратный комплекс должен входить в реестр Минпромторга.
- Все программное обеспечение внутри ПАКа должно быть российским (из реестра Минцифры).
- Компоненты, отвечающие за информационную безопасность, должны быть сертифицированы ФСТЭК.
Дополнительно существуют рекомендации НПО КИС, разработанные в конце 2023 года, но их выполнение пока носит добровольный характер.
Сегменты рынка доверенных ПАКов
Развитие доверенных ПАКов идет в нескольких направлениях:
«Если говорить о доверенных ПАКах, то ИБ-сегмент всегда стремился в этот статус, а следом идет инфраструктура, поскольку в КИИ она занимает порядка 80%», — подчеркнул Михаил Гилязов.
На этом этапе в обсуждение включился Андрей Виноградов, главный редактор журнала IT-Expert. Он поднял вопрос о том, существует ли сегодня четкое определение ПАКов для КИИ, ведь этот вопрос остается открытым.
Андрей Виноградов отметил, что для формирования единого понятийного поля необходим национальный стандарт. Разработкой соответствующего документа занимается рабочая группа Комитета 167 НПО КИС, возглавляемая специалистами АО «ИВК».
Андрей Виноградов также зачитал мнения представителей рынка. Один из топ-менеджеров ИТ-компании подчеркнул, что «пока нет готовности заказчиков активно двигаться в этом направлении, а регулятор не проявляет жесткой воли, что тормозит развитие». Другой топ-менеджер тоже их ИТ-компании согласился, что эта проблема достаточно серьезная. В соответствии с 187-м федеральным законом, категорирование на принадлежность к тем или иным классам критической инфраструктуры определяет каждое предприятие самостоятельно. Читайте также
Ильдар Шербанов: «ИИ не заменит человека, но сократит R&D в несколько раз» Как цифровизация меняет фармацевтическое производство, почему переход на ERP — процесс «от года и до бесконечности» и с какими вызовами сталкиваются ИТ-специалисты в фарме? В интервью журналу IT Manager Ильдар Шербанов, ИТ-директор компании «Эллара», рассказал о роли BI и видеоаналитики на производстве, перспективах ИИ в разработке лекарств и о том, как найти баланс между безопасностью, автоматизацией и жесткой регуляторикой.
Генеральный директор одной ИТ-компании в статье в журнале IT News, указал на сложность сертификации, отметив, что у нас есть 5-6 операционных систем, порядка 10 систем виртуализации, более 20 производителей серверов – а по некоторым оценкам и более 40. «Проходить на каждую комбинацию из возможных требуемые регулятором процедуры – довольно трудоемко, долго и дорого. При этом мы не понимаем, в таком масштабе все это нужно рынку. К тому же появление 80 с лишним производителей ПАК вряд ли позитивно скажется на конкуренции и облегчит клиентам выбор».
На что Михаил Гилязов заметил: «Можно понять боль производителей серверов, хороших серверов, которые вынуждены в условиях рынка, при большом количестве разработчиков базового ПО в лице операционных систем, поддерживать их все. А это тяжело, потому что на это тратится масса ресурсов».
По словам Анны Арутюновой, регулятор создаёт необходимые условия, расширяя список объектов КИИ и устанавливая требования к инфраструктуре. Производители, в свою очередь, должны эффективно использовать эти возможности: «Давайте сосредоточимся на выпуске качественных продуктов». Андрей Виноградов продолжил дискуссию, отметив, что правительство Москвы определило целевой показатель: к 2030 году в критической инфраструктуре должны использоваться только доверенные ПАКи.
Доверенные ПАКи: отложенное настоящее
Михаил Гилязов пояснил, что подобные требования закреплены в постановлении правительства №1912. Он отметил, что с 1 сентября никакого запрета на покупку ПАКов нет — это ошибочная трактовка. В постановлении №1912 говорится лишь о том, что заменять программно-аппаратные комплексы в инфраструктуре можно только на отечественные аналоги. Однако если ПАКов в критической инфраструктуре изначально нет, то требования об их обязательной замене на российские решения отсутствует. Главное, чтобы к 2030 году доля доверенных ПАКов составила 100%.
По словам Михаила Гилязова, при обсуждении доверенных ПАКов важно учитывать их сегмент. Если речь идет о ПАКах, обеспечивающих информационную безопасность, то это один набор компонентов. Если о ПАКах для инфраструктуры, таких как виртуализация или DevTest, — это другой состав. Для работы с данными — третий, для хранения — четвертый. А если это специализированный ПАК для управления технологическими процессами, например, на фабрике, то его состав отличается еще сильнее. Поэтому перед обсуждением важно четко определить, о каком именно сегменте идет речь.
Отсутствие единого определения доверенного ПАКа является одной из ключевых проблем. Принято считать, что доверенный ПАК — это российское оборудование, операционная система, СУБД и средства защиты информации отечественного производства. Однако требуется четкое понимание того, какие именно критерии делают ПАК действительно доверенным.
Существуют ли доверенные ПАКи
Валерий Андреев подчеркнул, что на данный момент доверенные ПАКи как таковые отсутствуют. По его мнению, постановление №1912 лишь усложнило ситуацию, создавая путаницу. Он отметил, что изложенные в документе критерии не гарантируют реального доверия, а представляют собой лишь формальный инструмент регулирования.
В рамках работы комитета 167 уже сформированы основные положения по данной теме, хотя процесс их официального оформления еще не завершен. В документах комитета прописано, что доверенный ПАК — это не просто совокупность серверов и операционной системы, а специализированное устройство с четко определенным функционалом. Важным этапом работы стало создание классификации ПАКов и их программного обеспечения, включая решения для виртуализации и АСУТП.
По словам Валерия Андреева, ключевыми отличиями ПАКов для КИИ от обычных автоматизированных рабочих мест (АРМ) являются технологическая независимость и длительный жизненный цикл. В данном контексте важно не просто присутствие ПАКа в реестре Минпромторга или Минцифры, а его реальная технологическая автономность как в программной, так и в аппаратной частях. Также значительную роль играет срок эксплуатации, который в случае доверенных ПАКов может составлять 15 и даже 25 лет. Помимо этого, в комитетах активно обсуждается вопрос функциональной устойчивости таких комплексов.
На данный момент комитет 167 проработал основные термины, определения и классификацию ПАКов, а также разработал соответствие между национальными стандартами и классификатором Минцифры.
Кто должен контролировать доверенные ПАКи
Андрей Виноградов обратил внимание на отсутствие контролирующего органа для доверенных ПАКов.
Валерий Андреев в свою очередь сказал, что на данный момент регулятор доверенных ПАКов отсутствует. По его мнению, если регулятор заявлен, то он должен иметь свой реестр и быть оператором этого реестра. При этом реестр Минцифры, по его словам, не является реестром доверенных ПАКов, а просто реестром ПАКов. Вопрос технологической независимости и функциональной устойчивости должен быть ключевым в этом контексте.
Андрей Виноградов уточнил, является ли отсутствие регулятора главной проблемой. По его мнению, такая организация должна взять на себя разработку нормативных документов и упростить работу заказчиков, разработчиков и производителей.
Валерий Андреев добавил, что сейчас многие избегают работы с КИИ (это утверждение относилось к заказчику), так как это влечет за собой необходимость соблюдения 166-го указа и постановления №1912. При этом классификация объекта автоматизации как КИИ зачастую остается на усмотрение руководителя предприятия.
Михаил Гилязов выразил несогласие с позицией об избегании работы с КИИ. Он подчеркнул, что у его заказчиков нет выбора, так как они обязаны переводить свою инфраструктуру на новые решения. Он также отметил, что критическая инфраструктура подвергается атакам, и если в результате атаки выйдет из строя государственная информационная система или производство, последствия будут очень серьезными. Именно поэтому заказчики обращаются к производителям ПАКов, включая компании, занимающиеся информационной безопасностью, такие как «Лаборатория Касперского» и «Код безопасности».
Базовые проблемы сегмента ПАКов для КИИ
По его словам, регуляторные меры в сфере доверенных ПАКов остаются недостаточными. В официальных документах присутствуют лишь несколько пунктов постановления №1912, и на них приходится опираться, поскольку других нормативных актов пока нет. Однако их недостаточно, и приходится использовать экспертные оценки, которые не всегда принимаются в судебных разбирательствах. В связи с этим необходимо расширять нормативную базу и подходить к вопросам регулирования комплексно. Читайте также
О programmatic-рекламе, особенностях Header Bidding и правильном выборе рекламной сети Татьяна Михалевская, управляющий партнер и генеральный директор компании МоеVideo, рассказывает IT-World о том, какие факторы сегодня определяют отечественный сегмент programmatic-рекламы, какие преимущества рекламные сети могут предложить бизнесу, как выбрать среди них надежного партнера и на что при этом ориентироваться.
Михаил Гилязов также заметил, что в целом отсутствие регулятора приводит к отсутствию проверок. Однако в других сферах регуляторы существуют, и их требования можно учитывать при формировании стандартов доверенных ПАКов.
Реестры продукции
Минпромторг ведет реестр продукции, на это указал Михаил Гилязов, включающий ПАКи, и осуществляет строгие проверки, особенно если производители претендуют на налоговые льготы. Кроме того, ФСТЭК контролирует аттестацию инфраструктуры, включая государственные информационные системы, что позволяет формировать конкретные требования к ПАКам.
Михаил Гилязов добавил, что некоторые заказчики предпочитают обходиться без российских решений, используя параллельный импорт, например, серверов Lenovo или Hewlett-Packard и продолжают работать на VMware.
На конференции, организованной дистрибьюторской компаний «Мерлион», говорилось, что на тот момент в России зарегистрировано 24 отечественных производителя серверов и около 50 разработчиков виртуализации.
Догнать с точки зрения функционала мировых грантов становится практически невозможно за счет того, что вместо консолидации идет разделение. И делается не одна СУБД, а две дюжины, что ведет к избыточной конкуренции.
Михаил Гилязов предположил, что в районе пяти лет российский рынок ждет череда слияний и поглощений, аналогичная той, что началась в 2007-2008 годах на мировом рынке виртуализации. Это должно привести к консолидации производителей и снижению хаоса в отрасли.
Валентина Кулагина отметила, что, несмотря на включение ПАКов в различные реестры, некоторые госкорпорации требуют дополнительной добровольной сертификации. Однако на данный момент нет четких методических указаний по этому вопросу, что затрудняет процесс подтверждения соответствия продукции требованиям.
Тут стоит отметить, что отсутствие четких критериев делает сертификацию затруднительной, а процесс выбора ПАКов для заказчиков сложным и запутанным. Валерий Андреев подчеркнул, что на текущий момент не существует органа, который бы сертифицировал ПАКи на соответствие критериям доверенности, таким как технологическая независимость, длительный жизненный цикл и функциональная насыщенность.
Андрей Виноградов поднял вопрос высоких цен на ПАКи, из-за которых они остаются недоступными для бюджетных организаций, включая высшие учебные заведения. Анна Арутюнова отметила, что спрос на ПАКи остается высоким, однако конкуренция на рынке может вызывать некоторую путаницу среди заказчиков, которым требуется помощь в выборе того или иного решения.
Реально ли завершить переход к 2030 году
Андрей Виноградов задал вопрос о перспективах перехода на отечественные решения и сроках их достижения. Антон Кузнецов высказал мнение, что к 2030 году переход на 100% будет завершен, хотя возможны переносы сроков. По его словам, технологический рывок последних лет позволяет рассчитывать на успешное импортозамещение. При этом государство, скорее всего, создаст условия, при которых компаниям будет выгодно продавать продукты вузам с существенными скидками.
Илья Борняков отметил, что на данный момент не хватает четкости в регуляторных требованиях. Заказчики и производители сталкиваются с неопределенностью, не понимая, какие меры предпринять и в какие сроки. В результате рынок испытывает хаос, который требует методического урегулирования.
Андрей Виноградов спросил, какие сферы лидируют по количеству заказчиков ПАКов. Михаил Гилязов отметил, что наибольший спрос наблюдается в госсекторе, финансовой сфере и промышленности.
«Сейчас компании спустя несколько лет экспериментов, тестов, пилотов почувствовали, что российский рынок достаточно созрел для того, чтобы предложить замещение в сегменте работы с данными. Это транзакционные СУБД, аналитические СУБД, то, что замещает продукты таких компаний, как Oracle, как Teradata – отметил Михаил Гилязов.
Опять же, достаточно активно сейчас развивается спрос на инфраструктуру под искусственный интеллект и модная технология S3, то есть объектного хранения, она позволяет сегменту замещаться и в этой области.
Основной интерес к переходу на отечественные решения обусловлен требованиями регуляторов и износом инфраструктуры. Читайте также
ИТ-разработчики сегодня: кого не хватает, где брать и как удержать? По оценкам Минцифры к концу 2024 года, дефицит кадров в ИТ составляет 500–700 тысяч человек. В то же время представители бизнеса дают оценку в 1 млн. Особенно остро нехватка специалистов ощущается в таких областях, как машинное обучение, нейросети, компьютерное зрение и обработка больших данных.
Валерий Андреев сообщил, что проекты нормативных документов комитета 167 находятся в открытом доступе и публикуются на соответствующих платформах. Существует хозяин всего этого процесса, НПО КИС. Иван Гребенников, руководитель направления стандартизации АО «НПО КИС» ответил IT-World следующее: «Проект стандарта сейчас на стадии доработки по итогам публичного обсуждения. Как будет доработан проинформируем дополнительно».
Есть ли готовность к «Эльбрусам»
По словам Валерия Андреева сейчас очень много разговоров идет о том, что КИИ будет построено на процессорах «Эльбрус». Он также заметил, что использование этих процессоров в КИИ является сложной задачей, поскольку они недостаточно развиты для решений в области виртуализации и искусственного интеллекта. Однако данный вопрос активно обсуждается на уровне совета по КИИ.
«Я знаю, что такое «Эльбрус», — сказал Валерий Андреев. — Я знаю, как он работает, и я знаю, чего от него ожидать. Для решения задач, например, в реальном секторе, в Россетях (ПАО Россети), еще где-то, он вполне достаточен. Для решения задач виртуализации, искусственного интеллекта, он совершенно не раскручен».
Тем не менее, момент тонкий, наверное, всем нужно к этому готовиться. Но пока отрасль не готова к такому варианту. Значит надо об этом думать уже сейчас.
ПАКи и облака
Андрей Виноградов спросил о востребованности ПАКов для облачной инфраструктуры. Валентина Кулагина подтвердила рост спроса, отметив, что 65% компаний уже используют или планируют перейти на гибридные облачные решения. Мультиоблачную инфраструктуру имеют от 11 до 20% компаний.
«Наши заказчики будут приобретать эти ПАКи для того, чтобы все виртуальные машины, инфраструктуру подгонять под зонтик безопасности», — уточнила Валентина Кулагина она также подчеркнула, что критически важно, чтобы ПАКи обеспечивали виртуализацию, управление и мониторинг, а также соответствовали требованиям безопасности. По ее мнению, жизнеспособными останутся только те производители, которые предоставляют высокий уровень клиентского сервиса и проверяют совместимость с программным обеспечением.
Андрей Виноградов задал новый вопрос о регуляторных инициативах ФСТЭК в отношении сроков выполнения 166-го и 250-го указов.
Валерий Андреев пояснил, что ФСТЭК выполняет регуляторные функции, но не занимается непосредственно вопросами ПАКов, а лишь сертифицирует средства защиты информации (вопросами СКЗИ занимается ФСБ РФ) «Вопросами, связанными с регулированием технологической независимости жизненного цикла и вопросами, связанными с функциональной устойчивостью, ФСТЭК не занимается», — уточнил Валерий Андреев.
По его словам, все ПАКи должны отвечать требованиям к ПАКам и доверенности этих ПАКов в КИИ. В том числе и средств защиты информации. «Еще раз повторяю, что постановление №1912 некоторым образом бежит впереди паровоза», — добавил он.
Илья Борняков напомнил, что есть разные ПАКи: ПАКи виртуализации, ПАКи сетевые, ПАКи безопасности. «И, наверное, если заказчик в рамках одного такого «слоя» начинает миксовать 10 разных вариантов, то ничего хорошего у него априори не получится. На интеграцию ПАКов между собой, реально нужно потратить очень много человеко-часов и много ресурсов», — отметил Илья Бортняков.
Где найти специалистов по доверенным ПАКам?
Андрей Виноградов задал новый вопрос о подготовке сертифицированных специалистов для работы с доверенными ПАКами. Михаил Гилязов отметил, что на данный момент отдельной сертификации для таких специалистов не требуется, однако обучение работе с ПАКами проводится как самими производителями, так и профильными учебными центрами.
Если инфраструктура университета не является объектом КИИ, то нет необходимости покупать доверенные ПАКи. Можно построить инфраструктуру на том, что выдерживает бюджет вуза, можно на обычных ПАКах. У ПАКов, независимо от производителя, есть определенный набор критериев, которые должны учитываться при производстве. «Прежде всего, они завязаны на надежности и отказоустойчивости. Все эти параметры напрямую влияют на цену. Чем выше надежность и отказоустойчивость, тем выше цены», — отметил Михаил Гилязов.
Валерий Андреев подтвердил, что работа с ПАКами требует четкого понимания регуляторных норм, но на данный момент специальных требований к сертификации специалистов нет.
В заключение дискуссии Наталья Соловьева, заместитель главного редактора IT News, отметила, что мероприятие IT-World получилось содержательным и выразила надежду на дальнейшие обсуждения этой темы в будущем.