Вопросы нормативно-правового регулирования в части обеспечения технологической независимости и безопасности объектов критической информационной инфраструктуры

Комитет Государственной Думы по энергетике провел  круглый стол  на тему «Вопросы нормативно-правового регулирования в части обеспечения технологической независимости и безопасности объектов критической информационной инфраструктуры (КИИ)»

Мероприятие прошло 7 декабря 2021 г. в онлайн формате.

Открывая дискуссию, председатель комитета по энергетике Павел Завальный заявил: «По мере цифровизации всех отраслей экономики вопрос обеспечения  технологической независимости и безопасности критической информационной инфраструктуры становится все более актуальным. Кибертерроризм становится инструментом  политического противостояния, осуществляемого через   атаки в цифровом пространстве и диверсии на объектах критической инфраструктуры. По оценкам экспертов, количество кибератак на объекты КИИ в России в первом полугодии 2021 года по сравнению с 2020 годом увеличилось почти в 2,5 раза. Объекты ТЭК  - это объекты особой опасности, в том числе, и с точки зрения уязвимости информационной инфраструктуры, и атака на них несет потенциальные угрозы не только самим отраслям, но и всей экономике страны. К сожалению, доля импортных информационных систем в российском ТЭК еще достаточно велика, однако имеющиеся в стране отечественные разработки уверенно продвигаются на российском рынке и вполне соответствуют современным требованиям. В сложившихся условиях очевидной стратегией государства является принятие соответствующих защитных мер, включая переход на российское программное обеспечение и оборудование, защищенное от вмешательства извне».

Директор департамента обеспечения кибербезопасности Министерства цифрового развития, связи и массовых коммуникаций РФ Владимир Бенгин  сообщил, что министерством  был подготовлен  проект Указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры», а также связанные с ним проект Постановления РРФ и проект ведомственного нормативного акта.

Согласно проекту Указа субъектам критической информационной инфраструктуры необходимо до 1 января 2023 г. осуществить переход на преимущественное использование российского программного обеспечения (ПО) и до 1 января 2024 г. – на преимущественное использование российского телекоммуникационного оборудования и радиоэлектронной продукции, в случае, если это оборудование соответствует требованиям, предъявляемым к ним. При этом проекты актов не направлены на безусловное использование и замену всего иностранного ПО и  оборудования. Преимущественное использование означает, что при наличии выбора между аналогичным российским и иностранным ПО и  оборудованием, приоритет должен отдаваться российскому.

Работа над Указом и нормативно-правовыми актами в его развитие показала целесообразность разработки соответствующего федерального закона. Такое поручение уже дано, и министерство начало эту работу совместно с заинтересованными органами исполнительной власти.  

Статс-секретарь – заместитель министра энергетики РФ Анастасия  Бондаренко рассказала о работе, которую ведет Минэнерго.  Министерство оказывает организациям ТЭКа методическую помощь, контролирует состояние фактической защищенности  КИИ. Проводятся учения по предотвращению и защите от диверсионных действий на объектах ТЭКа в цифровой среде. При этом, несмотря на достаточно высокий уровень защищенности объектов ТЭКа, существует большой потенциал для дальнейших улучшений.

В 2021 году начата масштабная работа по переработке законодательства в сфере безопасности и антитеррористической защиты объектов ТЭКа. В том числе, Минэнерго обсуждало с компаниями ТЭК проект Указа Президента РФ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры», и получило критические отзывы.

По мнению отрасли, основными проблемами при реализации Указа могут стать отсутствие соответствующего российского ПО и оборудование и невозможность спрогнозировать то, насколько оно будет эффективно по мере его внедрения; большие расходы компаний по переходу на отечественное ПО и оборудование, не заложенные в их бюджеты, а значит, потенциальный рост тарифов на энергоресурсы и удорожание товаров и услуг в масштабе страны; а также возникновение дополнительных административных барьеров.     

Пандемия помешала сформировать межведомственную рабочую группу при разработке проекта Указа, и Минэнерго надеется, что разработке законопроекта такая группа  будет создана, и появится возможность  обсуждения предлагаемых норм с отраслевым сообществом.

Начальник управления ФСТЭК России Николай Мищенко сообщил, что по данным ФСТЭК России, количество объектов, подпадающих под действие законодательства о защите КИИ, на данный момент достигает несколько десятков тысяч. По оценке Российского союза промышленников и предпринимателей переход на отечественный софт для компаний, обеспечивающих критическую информационную инфраструктуру страны, обойдется в 1 трлн. руб.

В то же время, отнесение информационных систем, автоматизированных систем управления технологическими процессами и информационно-телекоммуникационных систем к значимым объектам КИИ осуществляется субъектом критической информационной инфраструктуры самостоятельно, и распространение требований проекта Указа исключительно на значимые объекты КИИ может стать дополнительной причиной для уклонения от категорирования объектов критической информационной инфраструктуры и реализации положений Федерального закона № 187-ФЗ. ФСТЭК считает необходимым исключить подобные риски. Также представитель ФСТЭК сообщил, что сегодня готовится проект «Основ государственной политики обеспечения информационной безопасности», в которую будут заложены задачи ухода от зависимости от импортного оборудования и ПО, а также повышения надежности,  безопасности и эффективности отечественных аналогов как обязательных условий перехода на них. 

Начальник управления департамента ПАО «Газпром» Александр Малько  рассказал, что Газпром, как и все крупнейшие компании ТЭК,  активно ведет работу по обеспечению информационной безопасности своей инфраструктуры, включая переход на отечественное оборудование и ПО там, где это можно сделать без потери эффективности и надежности их работы.

 При этом важно понимать, что такой переход невозможно производить  частично, поскольку определенные блоки информационной инфраструктуры работают как единое целое. Соответственно, внедрение оборудования и ПО нужно проводить одновременно, что фактически является техническим перевооружением и требует не только существенных расходов, но и большого количества времени – порядка 2,5-3,5 лет. Поэтому требования по переходу преимущественное использование российского ПО (а значит, и оборудования, так как разделить эти процессы невозможно без потери надежности работы) до 1 января 2023 выглядят малореальными. 

Начальник управления обеспечения безопасности критической информационной инфраструктуры департамента обеспечения безопасности ПАО «Россети» Николай Стебенев также обозначил некоторые проблемы, возникающие при переходе на российский софт. Компания зачастую сталкивается с тем, что продукты, формально  являющиеся российскими, содержат до 90% импортных составляющих, и собственным оказывается только интерфейс. Также определенные проблемы связаны с тем, что разработчики, стремясь к защите своих авторских прав, настаивают переносе всего производства и тестирования продуктов на свои мощности, что существенно удлиняет сроки.

Важно снять эти проблемы, иначе переход на отечественное оборудование и ПО не принесет ожидаемых результатов. Кроме того, чрезвычайно важно разработать единые требования по надежности и безопасности, которым обязан соответствовать продукт любого производителя, будь то отечественный или импортный.

 О необходимости предварительного формирования обязательных требований по надежности, безопасности и эффективности всех продуктов ПО и оборудования высказался и  вице-президент, заместитель генерального директора по операционной деятельности – главный инженер ПАО «Фортум» Парвиз Абдушукуров. Он также обратил внимание разработчиков проекта Указа и законопроекта на технологическую невозможность отдельного внедрения оборудования и ПО, поскольку это единая система.

При этом все выступающие подчеркивали важность повышения информационной безопасности КИИ объектов ТЭК, перехода на гарантированно безопасное и надежное оборудование и ПО, защищенное от атак извне,  готовность вкладывать средства в соответствующие мероприятия.