1 июня в рамках Конференции ЦИПР-2023 при поддержке Ассоциации крупнейших потребителей ПО и оборудования состоялась панельная сессия «Стабильность и автономия. Современные вызовы КИИ российской промышленности», сообщает пресс-служба Ассоциация КП ПОО.
В мероприятии приняли участие заместитель министра цифрового развития, связи и массовых коммуникаций России Андрей Заренин, директор Департамента цифровых технологий Министерства промышленности и торговли России Владимир Дождев, сенатор РФ Артем Шейкин, ИТ-руководители крупнейших компаний страны – Росатома, Ростелекома, Транснефти, «Газпром нефти», РЖД, ДОМ.РФ, Ростеха, председатель Ассоциации КП ПОО, а также представители разработчиков – холдинга Т1, Консорциума «Вычислительная техника», Ассоциации «Доверенная платформа», Zecurion и другие.
Открывая дискуссию, председатель Ассоциации КП ПОО Рената Абдулина представила результаты анализа основных нормативных правовых актов, организационных и методических документов по обеспечению безопасности КИИ: в итоговую карту вошло более 20-ти документов, которые сегодня регулируют вопросы в этой сфере.
Собрав воедино и проанализировав нормативные правовые акты – видишь насколько важна совместная работа всех участников рынка. Субъекты КИИ, разработчики, производители и ответственные ФОИВ должны работать в едином информационном поле. Так как сегодня в достаточно сжатые сроки требуется перевести на отечественные решения все объекты КИИ, нам необходимы выверенные термины и правила, которые будут трактоваться однозначно. Чтобы производители отвечали на запрос потребителей, а заказчики в свою очередь могли выстроить приоритизацию перехода на отечественные решения. По мнению участников Ассоциации, в целях гармонизации действующего законодательства целесообразно утвердить ключевой нормативный правовой акт, в котором будут закреплены основополагающие принципы, понятийный аппарат, критерии определения технологической независимости и доверенности в сфере КИИ и другое.
– рассказала Рената Абдулина.
Такой НПА может лечь в основу разграничения полномочий и ответственности при определении политики достижения технологического суверенитета, а также задаст для организаций различных отраслей экономики единый вектор на пути достижения технологической независимости.
– подчеркнул сенатор РФ Артем Шейкин.
Кроме того, представители крупнейших компаний страны озвучили запрос на информационное и консультационное сопровождение процессов импортозамещения на объектах КИИ для получения компетентных разъяснений, например, как трактовать пункты нормативных актов или как применять методические рекомендации.
Сегодня тема технологической независимости критической информационной инфраструктуры находится на стыке нескольких направлений и, безусловно, в этом вопросе нам нужно регулирование, дополнительный понятийный аппарат. Сегодня Председатель Правительства поручил всем индустриальным центрам компетенций провести работу по выделению критических информационных систем и процессов, с точки зрения устойчивости к вызовам и угрозам, связанным с не утратой контроля за теми инструментами, которые мы у себя применяем. Такую работу мы проведем, типовые объекты КИИ утвердим, посоветовавшись с отраслями, после чего должны будут появиться планы перехода, которые станут отображением матрицы: что мы должны поменять, почему, на что, когда и зачем. Работа для нас понятная, ведем ее вместе со всеми отраслями.
– рассказал директор Департамента цифровых технологий Министерства промышленности и торговли России Владимир Дождев.
Вице-президент Транснефти Андрей Бадалов высказал обеспокоенность большим количеством отчетных показателей по импортозамещению. При этом ключевыми показателями должны стать безопасность и непрерывность работы и это в прямом смысле не эквивалентно просто импортозамещению. Важно выбрать такие отечественные решения, которые обеспечат более высокий уровень безопасности КИИ, чем импортные. Делать это надо, сохраняя устойчивость КИИ.
Мы многое будем делать впервые и важно в этом вопросе не торопиться. Решения не просто должны заработать, но и обеспечить в компаниях непрерывность и безопасность их производственных процессов. Мы понимаем, что иногда запрашиваем большое количество информации по различным вопросам, связанным с объектами КИИ, однако, эта детализация необходима, чтобы в том числе понимать в каких областях есть сложности и где требуется скорректировать подходы.
– рассказал заместитель министра цифрового развития, связи и массовых коммуникаций России Андрей Заренин.
Директор дирекции информационных технологий, автоматизации и телекоммуникаций «Газпром нефти» Антон Думин поднял вопрос неоднозначного толкования понятийного аппарата в нормативной базе:
Не всегда однозначно трактуются термины, которые применяются, например, такие как «программно-аппаратные комплексы» или что означает понятие «импортозаместить» внутри КИИ.
Хотелось бы, чтобы мы выстраивали понятийный аппарат, учитывая, как будут реализовываться намеченные планы в горизонте десяти лет, а не двух. Эти циклы всегда более длинные и мы должны понимать, как будем двигаться, в том числе по таким направлениям, как восполнение кадрового потенциала или производство и эксплуатация радиоэлектроники.
– добавил Антон Думин.
Генеральный директор холдинга Т1 Игорь Калганов также поддержал необходимость создания общего стратегического документа в сфере КИИ и единого глоссария:
Когда мы придем к единому пониманию и найдем методы, при которых заказчики будут хотеть признавать себя КИИ, нам всем станет гораздо проще взаимодействовать и договариваться.
Начальник Департамента информатизации РЖД Кирилл Семион высказал предложение разделить понятие безопасности и требований, которые предъявляются к КИИ:
Отсутствие импортозависимых компонентов в КИИ не всегда является достаточным, чтобы обеспечить их безопасность.
Также спикер обратил внимание на необходимость введения конкретных требований к понятию безопасная разработка. И ответственность подрядчиков за соблюдение данных требований по безопасности, чтобы крупнейшие потребители не несли дополнительных затрат для исправления ситуации.
Во второй части дискуссии эксперты ИТ-отрасли обсудили критерии доверенности ПАК, применяемых на объектах КИИ.
Директор по информационным технологиям Госкорпорации «Росатом» Евгений Абакумов рассказал про критерии доверенности ПАК, которые видятся важными для крупнейших заказчиков:
Нам важно знать, кто является производителем решения, как выстроены процессы их разработки. Иногда бывают ситуации, когда часть приложений наших партнеров разрабатываются за границей. Этот вопрос мы должны контролировать в том числе.
Среди требований к производителю и разработчику: собственная сеть сервисных центров на территории РФ; наличие прав на документацию, технологию, патентов и исключительных прав на ПО; поддержка продукта на протяжении всего жизненного цикла. Также отдельно Евгений Абакумов остановился на требованиях к аппаратному и программному обеспечению ПАК.
Старший вице-президент по информационным технологиям Ростелекома Кирилл Меньшов акцентировал внимание на предназначении ПАКов:
Мне кажется, что решить вопрос ПАКов без понимания того, что они из себя представляют – невозможно. Они появились для специализированных задач, которые нельзя решить с помощью универсальных серверов. Поэтому ПАКи между собой различаются радикально. Либо нам придется делать много классов ПАКов, либо мы подойдем к решению издалека, сделаем более абстрактно, но тогда нам сложно будет соответствовать. Чтобы нам удалось прийти к итогу, важна работа всех участников сегодняшней дискуссии: потребителей, разработчиков и органов государственной власти.
Генеральный директор АНО «Консорциум «Вычислительная техника» Светлана Легостаева обратила особое внимание на доверие со стороны заказчика к оборудованию, которое обязательно должно быть чем-то подтверждено:
Нужно развивать институт центров тестирования. Они будут решать задачу доказательства того, что функционал, который задекларирован на бумаге производителем действительно выдержал нагрузочные испытания и соответствует всем заявленным характеристикам. Полигон должен занять важное место в системе создания и внедрения решений для КИИ.
Президент Ассоциации разработчиков компьютерных технологий доверия и безопасности «Доверенная платформа» Андрей Тихонов заявил о необходимости создания единой карты рисков:
Необходимо сформировать единую картину рисков и угроз КИИ, которые связаны не только с информационной безопасностью, но и с технологической независимостью. На основе этого должны быть сформированы требования доверенного и безопасного жизненного цикла продукции и систем – начиная от дизайна и разработки, через внедрение и модернизацию, вплоть до вывода из эксплуатации.
Фото - Ассоциация КП ПОО
Подписывайтесь и читайте актуальные новости в социальных сетях журнала RUБЕЖ:
Телеграм-каналы:
Журнал RUБЕЖ безопасность online
RUБЕЖ. Пожарная безопасность
Транспортная безопасность 969