Какие позитивные тенденции в формировании отечественных ИТ-стандартов можно отметить, и чем чревато отсутствие необходимых ИТ-рынку стандартов? Какие факторы влияют на формирование отечественных ИТ-стандартов и остается ли важной для этого процесса мировая практика? Об этом за виртуальным круглым столом ICT-Online.ru беседуют эксперты компаний АО «Цифровые Платформы и Решения Умного Города» (входит в дивизион Госкорпорации Росатом - АО «Русатом Инфраструктурные решения»), Группа Т1, ГК «Электронные Офисные Системы» (ЭОС) и Angara Security.

ICT-Online.ru: Как вы оцениваете текущие инициативы по принятию отечественных ИТ-стандартов? Какие из них наиболее важные? Приведите примеры положительного влияния принятия стандартов.

Технический директор АО «Цифровые Платформы и Решения Умного Города» (входит в дивизион Госкорпорации Росатом - АО «Русатом Инфраструктурные решения») Александр Кажанов: Оценивать инициативы по принятию отечественных стандартов можно по влиянию на драйверы, а они у разных продуктов разные. У одних – это качество, у других - стоимость, у третьих - выполнение регламентов, у четвёртых - безопасность. В целом целенаправленно отдельная работа по оценке влияния изменений в стандартах у нас не проводилась, но локальные изменения ощущаются как положительные. Наиболее важные, на наш взгляд, Индустрия 4.0, сквозная цифровизация, ИБ, изменения в 34-ом ГОСТе.

Если говорить о тенденциях, то изменения не вполне ощутимы. Всё так же часто локализуются ISO, всё так же часто - без должной адаптации. На этом фоне выделяются стандарты по ИБ, по ним ощущается более качественная проработка.

Директор по продуктам и технологиям Группы Т1 Александр Рожков: За последние несколько лет был разработан ряд предварительных и национальных ИТ-стандартов по различным направлениям: разработка мобильных приложений (277-2018), разработка безопасного ПО (ГОСТ Р 56939-2016), проектирование и обслуживание инженерной инфраструктуры дата-центров на территории РФ (ГОСТ Р 58811-2020, ГОСТ Р 58812-2020), «Защита информации. Формальная модель управления доступом» (ГОСТ Р 59453.1-2021, ГОСТ Р 59453.2-2021), Система менеджмента ИБ (ГОСТ Р ИСО/МЭК 27001) и др. В октябре-ноябре 2021 года Росстандарт серией приказов анонсировал целый ряд изменений в ГОСТы 34-й серии. Важно, что идет активная работа по актуализации существующих стандартов и разработке новых национальных ИТ-стандартов, в которую вовлечены как регуляторы и институты развития, так и экспертное сообщество: Росстандарт, ФСТЭК, РВК, НТИ, Ассоциация участников отрасли ЦОД, ИСП РАН, ГК Astra Linux, «ИнфоТэКС», НИУ ВШЭ и др.

Еще в декабре 2017 года Правительственной комиссией по использованию ИТ для улучшения качества жизни и условий ведения предпринимательской деятельности был утвержден План мероприятий программы «Цифровая экономика» по реформированию нормативно-правового регулирования. Одной из основных задач Плана является стандартизация в области цифровой экономики. В октябре 2020 года Минпромторг России и Росстандарт утвердили обновленный план стандартизации технологий Индустрии 4.0. До 2025 года появится более 120 стандартов по IoT/IIoT, Big Data, ИИ, киберфизическим системам, «умному производству», AR, цифровой проектно-конструкторской и эксплуатационной документации.

Пользу от стандартизации можно оценить на примере технологий квантовых коммуникаций, которые остаются одной из точек потенциального технологического рывка. Несмотря на успешное тестирование первых практических реализаций сетей квантовых коммуникаций, эта относительно молодая технологическая область характеризуется низким уровнем стандартизации как в России, так и в мире. ТК 194 «Киберфизические системы» разрабатывает национальный стандарт «Квантовые коммуникации. Общие положения и терминология», который установит единые требования к архитектуре квантовой сети и терминологии, а также типовые примеры применения данных технологий. Переход на единый стандарт производителей устройств квантовых коммуникаций позволит сократить издержки производства минимум на 10 % за счет снижения затрат на разработку аппаратных и программных сетевых интерфейсов.

Начальник отдела анализа и методологии ГК «Электронные Офисные Системы» (ЭОС) Елена Антошечкина: Как представитель компании, которая в первую очередь является потребителем и разработчиком ИТ-решений, и только во вторую – разработчиком ИТ–стандартов, могу оценивать полезность стандартизации с точки зрения потребителя результатов. И считаю, что такое направление взгляда полезно и для регуляторов отрасли, и для тех, чья основная деятельность заключается в разработке стандартов. Стандартизация ради самого процесса лишена смысла. Стандарты нужны только при условии их востребованности, применимости и своевременности, а не сами по себе.

Что же касается конкретных примеров, не буду говорить про всю ИТ-отрасль, она слишком разнообразна и многопланова. Попробую оценить ситуацию в той области, которой занимаюсь наиболее плотно, а именно – в области управления документами и информацией в рамках электронного документооборота государственных органов.

В настоящее время (и это особенно заметно последние 2-3 года) в нашей стране взят курс на цифровизацию деятельности госструктур, автоматизацию работы с документами. Одновременно отходят в прошлое локализованные изолированные автоматизированные системы, обеспечивающие работу с документами внутри одного учреждения, максимум – нескольких организаций в рамках холдинга. Сейчас во главу угла ставится информационное взаимодействие и интеграция разрозненных автоматизированных систем в единую информационную систему. А такую систему невозможно построить без упорядочивания и установления единых правил работы с данными и документами, т.е. без стандартизации (на уровне, как минимум, типовых базовых процессов, форматов данных, основных концептуальных подходов к работе).

И работы в этом направлении идут весьма активно. Инициируются они, главным образом, не органами по стандартизации, техническими комитетами и подкомитетами, а регуляторами отрасли – Минцифры России, ФСО России, ФНС России и т.п. Результаты этих работ оформляются и утверждаются не как стандарты (ГОСТ, ГОСТ Р, ОСТ), а как документы соответствующих регуляторов (приказы Минцифры России, ФСО России, распоряжения и постановления Правительства Российской Федерации). В отличие от стандартов, которые по умолчанию носят в нашей стране рекомендательный характер, документы уровня постановления Правительства обязательны к применению в рамках области регулирования. И, как следствие, реакция отрасли на такие документы более активная и быстрая, что очень важно при реализации, например, единовременного перехода на новый формат обмена данными для всех взаимодействующих автоматизированных систем.

В качестве примера можно привести деятельность регуляторов в области информационного взаимодействия по системе межведомственного электронного документооборота (МЭДО). За последние 2 года нормативная база в области МЭДО была существенно доработана. В частности, утверждена новая версия формата обмена электронными документами по МЭДО (Требования к организационно-техническому взаимодействию государственных органов и государственных организаций, утв. приказом Минцифры России и ФСО России от 04.12.2020 №667/233), новые Правила обмена документами в электронном виде при организации информационного взаимодействия (утв. постановлением Правительства РФ от 24.07.2021 № 1264) в настоящее время на утверждении находятся требования к порядку ведения нормативно-справочной информации (НСИ) МЭДО. Активность регуляторов дает существенный толчок развитию информационных систем взаимодействующих по МЭДО государственных органов и организаций.

Руководитель отдела консалтинга и аудита Angara Security Александр Хонин: Стандартизация - это по умолчанию важный процесс, так как он позволяет регулировать «правила игры». Мы видим, что за последнее время выпущено много новых документов в части информационной безопасности. Учитывая возрастающую роль ИБ, это не может не радовать.

ICT-Online.ru: Что в части формирования отечественных ИТ-стандартов еще необходимо сделать в ближайшей и более отдаленной перспективе? Приведите примеры негативного влияния отсутствия нужных стандартов.

Александр Кажанов (АО «Цифровые Платформы и Решения Умного Города»): На наш взгляд, необходимо обратить внимание на то, что в промышленной автоматизации не хватает стандартов на работу с использованием мобильных устройств. АСУ ТП и мобильные устройства - до сих пор невозможное сочетание, хотя все IoT-разработки выполняются по 34-ому ГОСТу и невозможны без мобильных приложений.

Кроме того, не хватает также распространения отечественного шифрования и ИБ в другие стандарты, «сквозного» проникновения.

Бизнес Группы Т1, как крупной ИТ-компании в диверсифицированным портфелем, так или иначе связан со многими отраслевыми и международными стандартами. Например, компании Группы Т1 на регулярной основе проходят аудит на соответствие стандарту ISO 9001 (СМК), дата-центры сертифицированы по международным стандартам Uptime Institute, Т1 Cloud регулярно подтверждает соответствие требованиям международного стандарта PCI DSS. Об отечественных стандартах в сфере ИТ говорит директор по продуктам и технологиям группы Т1 Александр Рожков (см. интервью раздела «Т1» от 20 апреля 2022 г.).

Александр Рожков (Группа Т1): Сегодня Россия столкнулась с множественными вызовами, связанными, с одной стороны, с санкционным давлением и, с другой стороны, с необходимостью ускоренного развития цифровой экономики. В этом контексте создание национальных стандартов – необходимый фундамент для дальнейшего технологического и экономического развития страны. Еще в 2019 году Правительственная комиссия по цифровому развитию одобрила семь дорожных карт по развитию сквозных технологий цифровой экономики. Среди них – нейротехнологии и ИИ, технологии VR/AR, новые производственные технологии, технологии беспроводной связи, системы распределенного реестра, квантовые технологии, компоненты робототехники и сенсорики. Стандартизация призвана повысить интероперабельность, надежность и безопасность систем на основе сквозных цифровых технологий.

С учетом сегодняшних реалий и антикризисных мер правительство оперативно пересматривает приоритеты и меры господдержки. Мы считаем, что кроме социальной сферы и поддержки бизнеса первоочередными задачами в краткосрочной перспективе станет поддержка, в том числе с помощью инструментов правового и технического регулирования, финансовой системы, здравоохранения, сельского хозяйства, транспортной отрасли, промышленности, внутреннего туризма и т.д. Нужно отметить, что в феврале 2022 года Россия первой в мире приняла стандарты в области ИИ в здравоохранении. Первые пять стандартов вступят в силу в течение 2022 года, среди которых: «Интеллектуальные методы обработки медицинских данных», «Системы ИИ в клинической медицине», «Стандарт управления изменениями в системах ИИ с непрерывным обучением». Особое внимание необходимо уделить отраслевым стандартам области защиты информации на объектах КИИ.

Если говорить о среднесрочной перспективе, нужно уже сегодня задумываться о национальных стандартах в банковском секторе (Open API), в электроэнергетике (CIM-модель и др.), в сфере образования (СЦОС, Цифровая школа), в сфере здравоохранения (ИИ), в сельском хозяйстве (ИИ), на транспорте (сбор автомобильных данных, ситуационная видеоаналитика, «умные дороги», беспилотные автомобили), в строительстве (BIM) и т.п. Определенно, утверждение подобных стандартов будет способствовать созданию и широкому распространению на российском рынке вертикальных решений на основе цифровых технологий.

Серьезной проблемой цифровизации госсектора является отсутствие единых стандартов при создании ведомственных и региональных информационных систем и выборе технологий, что создает заметные трудности в интеграции и работе с данными, в том числе в рамках создания НСУД. Как результат, противоречивость данных, проблемы ИБ, неоправданный рост издержек, в том числе на этапе поддержки и модернизации систем.

Наглядным примером недоработки в части стандартизации является построение АПК «Безопасный город». На момент внедрения никаких технических документов и ГОСТов, которые бы каким-то образом унифицировали региональные сегменты АПК «Безопасный город», не существовало. По сути, каждый регион с нуля и практически автономно выстраивал свой сегмент, на основе федерального финансирования или механизма ГЧП.

Елена Антошечкина (ЭОС): Что же касается негативного примера отсутствия стандартов, то и этот момент можно проиллюстрировать на примере обмена по МЭДО. Так, одной из основных причин ошибок и проблем взаимодействия по МЭДО является несогласованность данных на разных сторонах обмена. Как ни странно это звучит, одни и те же организации имеют в базах данных сторон обмена разные наименования (и это несмотря на то, что у всех организаций есть официальные названия, которые можно и нужно использовать!) Приходится предпринимать колоссальные усилия, чтобы решать такие проблемы на техническом уровне (это и таблицы подстановок, и автозамены, и прочие ухищрения). Это утяжеляет автоматизированные системы - как для разработчика, так и для пользователя. А исправить ситуацию относительно просто – надо стандартизировать эти данные и обеспечить возможность их централизованного ведения и использования всеми участниками обмена. Эту проблему, кстати, и призван решить упомянутый выше документ, утверждающий требования к порядку ведения НСИ МЭДО.

И таких примеров масса. В идеале, конечно, чтобы проблемы вовсе не возникали и каждое новое направление или конкретное решение в ИТ-отрасли уже в момент своего появления было снабжено исчерпывающим пакетом нормативных, справочных, регламентирующих и стандартизирующих его разработку и использование документов. Но это мечта из разряда утопии (хотя к её достижению нужно стремиться). В реальности надо постоянно анализировать опыт применения существующих решений, оценивать перспективные решения и максимально оперативно реагировать на потребности отрасли, в том числе, путем выпуска стандартизирующих материалов и документов.

ICT-Online.ru: Какие факторы традиционно влияют на формирование отечественных ИТ-стандартов, насколько важен здесь мировой опыт?

Александр Кажанов (АО «Цифровые Платформы и Решения Умного Города»): По моему мнению, традиционное влияние оказывает ряд факторов. Это малое погружение отдельных технологических комитетов в best practices реального проектирования, слабая обратная связь (нет воли к её сбору) от пользователей стандартов. Стандарт выпустили, и никого не спрашиваем, насколько он хорош, подходит, что изменилось после его появления.

Александр Рожков (Группа Т1): Важно, чтобы национальные стандарты разрабатывались не в отрыве от международных стандартов и с привлечением экспертного сообщества. До 2022 года ключевыми международными и национальными организациями, с которыми сотрудничали отечественные регуляторы, были Международная организация по стандартизации (ISO), Международный Союз Электросвязи (ITU), Международная электротехническая комиссия (IEC), Американский национальный институт стандартов (ANSI), Национальный институт стандартов и технологий США (NIST), Институт инженеров по электротехнике и радиоэлектронике (IEEE), Европейская ассоциация производителей компьютеров (ECMA), Британский институт стандартов (BSI), Open Connectivity Foundation (OCF) и др. Понятно, что сейчас перспективы сотрудничества с указанными организациями будут пересмотрены.

Примером успешного сотрудничества может служить международная конференция «Регулирование цифровых технологий», которая прошла в ноябре 2019 года в Санкт-Петербурге. Участниками конференции стали технический комитет «Киберфизические системы» (ТК 194), представители международных организаций по стандартизации ISO, IEC, IEEE, ITU-T, ведущие международные эксперты в области стандартизации из таких компаний, как IBM, Microsoft, Cisco, Toshiba, Dell EMC, а также представители регуляторного комитета LoRa Alliance, Минпромторга России, Росстандарта, Фонда «Сколково», НП «РУССОФТ» и др.

Помимо деятельности в области стандартизации крайне важным является «приземление технологий» на основе создания и развития экспериментальных правовых режимов (ЭПР) для проектов, связанных с цифровыми инновациями. На настоящий момент приняты законы о проектах ЭПР для развития следующих технологических инноваций: медицинская деятельность, телекоммуникации, проектирование, производство и эксплуатация высокоавтоматизированных транспортных средств (включая дроны и беспилотные авто), предоставление транспортных и логистических услуг, организация транспортного обслуживания, продажа товаров, работ и услуг дистанционным способом.

Одной из ключевых проблем глобального характера является поиск баланса между выгодой и приватностью. Особенно это касается персональных данных граждан, которые оказываются в распоряжении банков, операторов связи, медицинских учреждений и ритейлеров. В России эта проблема в современных реалиях получила новую окраску. Не исключено, что своевременное утверждение предварительного стандарта разработки мобильных приложений (277-2018), в котором оговаривается, что все персональные данные пользователей должны храниться в России, отсутствие критических уязвимостей и т.д. гарантировало бы больший уровень защищенности российских пользователей в связи с приостановкой на территории РФ деятельности компаний Apple и Google, а также недоступностью App Store и Google Play.

Елена Антошечкина (ЭОС): Международный опыт оказывает на отечественную отрасль стандартизации в области ИТ весьма сильное влияние. Это объясняется тем, что традиционно развитие ИТ-отрасли идет «с запада», мы же большей частью потребляем результат. И либо локализуем и адаптируем его под свои потребности, либо принимаем и перенимаем в чистом виде. В мире, имеющем склонность к глобализации и сквозному взаимодействию (в том числе, в сфере ИТ-коммуникаций и услуг) такой подход оправдан. Да и зачем изобретать уже изобретенное, тратить силы, время и другие ресурсы, совершать уже совершенные кем-то ошибки. Более эффективным может стать использование уже готового результата, подходящего для поставленной цели применения.

Руководствуясь такой логикой, при разработке стандартов ЭОС отдавал предпочтение методу гармонизации – мы проводили анализ международной базы в области стандартизации ИТ-отрасли, выполняли отбор наиболее актуальных и подходящих под требования отечественной отрасли международных стандартов (уровня ИСО, МЭК) и разрабатывали на их основе отечественные стандарты.

Сейчас же, в силу взятого в нашей стране направления на импортозамещение и импортонезависимость, ситуация может несколько измениться, но это будет, главным образом, касаться низкоуровневых стандартов (определяющих, например, конкретные алгоритмы, форматы и т.п.), высокоуровневые же и концептуальные моменты, полагаю, будут затронуты в меньшей степени. В любом случае, анализ международного опыта и лучших мировых практик по-прежнему будет необходим. Не исключаю даже, что актуальность такого рода работ возрастет – теперь не получится «просто взять и применить», придется «разбирать по винтикам» и внимательно изучать и каждый винтик в отдельности, и всё целиком на предмет возможности (целесообразности, допустимости, безопасности и т.п.) применения или создания аналога. И к стандартам это относится не в последнюю очередь.

Александр Хонин (Angara Security): На формирование новых ИТ-стандартов в первую очередь влияют уже существующие - сейчас идет их пересмотр, поскольку многие вещи уже устарели. Также нельзя отметать общие тенденции в ИБ - стандарты разрабатываются в том числе по направлениям, которые становятся наиболее востребованными. Что касается мирового опыта, то здесь стоит признать, что качество зарубежных документов очень достойное, и, конечно, на них стоит ориентироваться.

ICT-Online.ru: Большое спасибо за беседу!