7 декабря 2021 года состоялось заседание круглого стола, организованное Комитетом Государственной Думы РФ по энергетике. Оно было посвящено нормативно-правовому регулированию процесса обеспечения технологической независимости и безопасности объектов критической информационной инфраструктуры (КИИ). Эксперты обменялись мнениями о том, какие подходы нужно использовать к решению этой задачи, какое влияние окажут на рынок разрабатываемые нормативно-правовые акты (НПА). В фокусе обсуждения - готовящиеся к принятию НПА, регламентирующие переход предприятий ТЭК на отечественное оборудование и программное обеспечение: подготовленный Минцифры РФ проект Указа Президента РФ "О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры", а также связанные с ним проект постановления Правительства РФ и проект ведомственного нормативного акта.

     В заседании приняли участие статс-секретарь - заместитель министра энергетики РФ Анастасия Бондаренко, директор департамента обеспечения кибербезопасности Министерства цифрового развития, связи и массовых коммуникаций РФ Владимир Бенгин, начальник управления ФСТЭК России Николай Мищенко, представители ведущих компаний ТЭК, отраслевых экспертных институтов и ассоциаций. В ходе обсуждения были выявлены проблемы, требующие решения. Часть из них имеет отношение к срокам такого перехода. Представители компаний топливно-энергетического комплекса обратили внимание законодателей на то, что готовящиеся НПА не учитывают специфику КИИ ТЭК, а также статус (лицензии и сроки использования/амортизации) имеющегося в наличии ПО и аппаратных комплексов (телекоммуникационное, измерительное и контрольное оборудование). Предлагаемые сроки замены - 2023-2024 годы - вызовут дополнительные незапланированные затраты. В частности, по оценке Минэнерго РФ и самой корпорации, реализация предлагаемых мер обеспечения безопасности КИИ только для компаний, входящих в структуру ПАО "Газпром", потребует вложения порядка 180 млрд рублей.

     Кроме того, эксперты отмечают, что отечественное ПО и оборудование сами по себе не являются гарантией безопасности. Есть проблемы, связанные как с разработкой, так и с тестированием предлагаемого к внедрению ПО на безопасность. Основные вопросы - качество кода (соответствие стандартам безопасности кода), сроки и стоимость динамического (на моделях реальных технологических процессов) тестирования, использование в коде фрагментов иностранного ПО и модулей, разработанных с использованием открытого кода.

     Представители корпораций заверили, что информационная безопасность и защита КИИ ТЭК на сегодняшний день обеспечена, каждая компания имеет планы перехода на отечественные ПО и технику и реализовывает их. Кроме того, для технологического оборудования в некоторых областях, в частности, в комплексах по производству СПГ, техника и ПО не поставляются отдельно, только в виде программно-аппаратных комплексов. При этом российское оборудование такого класса отсутствует, а заменить ПО на поставляемом зарубежном невозможно. Требование использовать только российское ПО де-факто становится требованием замены большого числа технологических комплексов.

     Большинство участников дискуссии выразили мнение, что сроки перехода на отечественное ПО должны регулироваться отраслевым законодательством и определяться предприятими совместно с отраслевым регулятором. На переходный период необходимо также предусмотреть возможность использования имеющегося в наличии ПО, а его вывод из эксплуатации необходимо увязать с его актуальным статусом.
     
     
     Источник:
     http://www.securitymedia.ru