Импортозамещение пойдет по плану

Разработан порядок перевода объектов критической инфраструктуры на российское ПО и железо

Опубликован проект постановления правительства РФ, в котором владельцам критической информационной инфраструктуры (КИИ) предложено до апреля 2023 года спланировать переход на программно-аппаратные комплексы (ПАКи) с российскими компонентами. Эксперты отмечают, что документ поможет предприятиям приступить к конкретным шагам по импортозамещению, и вместе с тем указывают на сжатые сроки для разработки проектов планов и на нехватку некоторых отечественных решений.

ПЕРЕХОД УПОРЯДОЧИЛИ

Минпромторг России разработал порядок перевода объектов КИИ на ПАКи с отечественными компонентами. Соответствующий проект постановления правительства РФ опубликован на федеральном портале проектов нормативных правовых актов.

Реализация документа направлена на обеспечение технологической независимости и безопасности КИИ РФ

К таким объектам относятся сети связи, IТ-системы и автоматизированные системы управления технологическими процессами (АСУТП), которые принадлежат субъектам КИИ: госорганам, научным и кредитно-финансовым организациям, а также предприятиям оборонной, металлургической, топливной и атомной промышленности, транспорта, телекома, энергетики, здравоохранения и другим.

Напомним, в июле вице-премьер Дмитрий Чернышенко предложил распространить требования по использованию только отечественного ПО на все значимые объекты КИИ (ЗОКИИ)*, а не только на те, что принадлежат госорганизациям и госкомпаниям. RSpectr писал об этом ранее.

Для последних запрет на использование иностранного софта уже введен – с 31 марта 2022 года, как утверждено указом президента РФ, они не могут закупать зарубежное ПО, а полностью отказаться от него госзаказчики должны с 1 января 2025 года.

Согласно проекту постановления, организации должны будут провести аудит своих объектов КИИ и разработать проект плана перехода на «преимущественное применение доверенных программно-аппаратных комплексов» – то есть тех, в состав которых входят российские радиоэлектронная продукция и ПО, находящиеся в соответствующих реестрах Минпромторга и Минцифры.

Разработку, создание и сервисное обслуживание таких ПАКов для КИИ должно будет осуществлять специально созданное для этого научно-производственное объединение (НПО). Обеспечивать его организацию будет правительство РФ.

В проект плана перехода включат перечень используемых радиоэлектронной продукции, телеком-оборудования и ПО, сроки амортизации и действия прав на ПО, а также предложения по переходу на доверенные ПАКи, отечественное железо и софт и возможные источники финансирования.

Этот документ не позднее 1 апреля 2023 года внесут в межведомственную комиссию Совбеза РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ. Она примет решение о согласовании плана перехода, который затем утвердят субъекты КИИ – в срок не позднее пяти рабочих дней. Затем копии утвержденных планов перехода будут направлены в Минпромторг, Минцифры, ФСТЭК, ФСБ, а также в НПО.

При этом мониторинг перехода субъектов КИИ на преимущественное применение российского ПО предлагается закрепить за Минцифры.

Как рассказали RSpectr в пресс-службе Минпромторга, также в плане могут быть предложения по использованию иностранных решений – в том случае, если нет российских аналогов. Соответствующее заключение должно выдать министерство или АНО «Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий».

РОССИЙСКИЕ РЕШЕНИЯ ЖДУТ

Постановление правительства РФ, разработанное Минпромторгом, поможет обеспечить переход объектов КИИ на российское оборудование и ПО, соответствующее требованиям кибербезопасности, сказал RSpectr руководитель направления информационной безопасности компании «Аэродиск» Александр Блезнеков.

По мнению заместителя директора департамента консалтинга ГК Innostage Данияра Исхакова, составленные и опубликованные планы перехода дадут производителям российской радиоэлектронной продукции возможность оценить требуемые объемы и их технические и функциональные характеристики. Это позволит целенаправленно работать над выпуском необходимого рынку оборудования, сообщил он RSpectr.

Генеральный директор Getmobit Мария Рукавишникова в разговоре с RSpectr отметила, что работа по составлению проекта плана будет проводиться только для ЗОКИИ. По ее словам, крупные организации обладают такими компетенциями. При необходимости они привлекут отечественных вендоров. Эта обязанность подтолкнет российские компании лучше познакомиться с отечественными российскими решениями, уверена эксперт. Мелкие предприятия, скорее всего, категорировали свои объекты КИИ как незначимые (т.е. категория значимости не была присвоена. – Прим. RSpectr.).

Мария Рукавишникова, Getmobit:

– Если есть значимые объекты КИИ и нет компетенций, то отраслевые органы государственной власти должны им помочь. Это одна из новых функций заместителя по цифровой трансформации.

УЛОЖИТЬСЯ В СРОК

С составлением планов проблемы быть не должно, считает Данияр Исхаков. Эксперт напомнил, что фактически вопросом перехода на отечественные ПАКи субъекты КИИ должны были заниматься с момента выхода указа президента РФ. Тем более что к 1 апреля 2023 года нужно только составить план, в котором указать все используемые ПАКи, подлежащие замене. На объекты КИИ «должна быть проектная и/или закупочная документация, в которой перечисляются все ПАКи, ПО, оборудование и их технические и функциональные характеристики».

Александр Блезнеков полагает, что срок до 1 апреля 2023 года – сжатый, но достаточный для реализации.

Александр Блезнеков, «Аэродиск»:

– Многие субъекты КИИ уже провели инвентаризацию ресурсов и имеют в распоряжении базовую информацию об используемой радиоэлектронной продукции, телеком-оборудовании и ПО. Остается ее привести в соответствие с формой плана перехода и предложить варианты замены.

Мария Рукавишникова, напротив, указывает на то, что срок очень жесткий и, скорее всего, не будет соблюдаться по ряду причин.

Например,

сама подготовка плана перехода является трудоемким процессом

Так как в нем, помимо прочего, должны быть даны предложения по применению либо доверенных ПАКов, либо другого оборудования, причем в последнем случае это надо все согласовывать с Минпромторгом и (или) АНО «Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий» в порядке, устанавливаемым Минцифры, а его надо еще разработать.

Еще один вопрос, на который обращает внимание эксперт, – какая организационно-правовая форма будет у АНО? И на каких условиях (платно или бесплатно) будет проводиться это согласование? Если платно, то потребуется время на заключение соответствующего договора.

Исполнительный директор компании «Смарт-Софт» Сергей Черномашенцев в беседе с RSpectr сетует на то, у владельцев КИИ пока вопросов больше, чем ответов. Например, нужно периодически проводить аудит информационной безопасности. Кто будет этим заниматься? Это может сделать свой «офицер» по ИБ или необходимо привлекать стороннего подрядчика?

НА ЧТО ПЕРЕХОДИТЬ

Когда мы говорим про КИИ, важно понимать, что речь идет о высокопроизводительном ПО для масштабных инфраструктур, объясняет RSpectr руководитель ИБ-департамента компании «Сиссофт» Дмитрий Ковалев. Он подчеркивает, что на рынке много достойных отечественных решений, но не всегда они выдерживают повышенную нагрузку и способны работать на больших инфраструктурах.

«Уже существует широкая линейка отечественного ПО. В производстве аппаратных средств вендорам еще многое предстоит сделать. В российском железном секторе используется множество иностранных комплектующих», – говорит Дмитрий Ковалев.

Он подчеркивает:

общий курс правительства РФ должен максимально ускорить развитие отрасли

Старший консультант центра компетенций по информационной безопасности компании «Т1 Интеграция» Роман Романов также отмечает в разговоре с RSpectr, что рынок отечественного ПО достаточно бурно развивается, потенциала вполне достаточно для решения задач импортозамещения. По оборудованию сложнее, но в этом направлении также предпринимаются определенные шаги, и до наступления установленных сроков результаты появятся, уверен он.

Сергей Черномашенцев подчеркивает, что

есть большой дефицит ПО для аудита информационной безопасности

По его словам, сейчас пентесты в основном выполняются вручную и с использованием зарубежных продуктов. «У кого-то они еще до сих пор работают, кто-то может продлевать лицензии биткоинами, кто-то регистрирует корпоративную почту на зарубежных сервисах», – поясняет эксперт.

В аудите ИБ могут помочь площадки Bug Bounty, которые начинают появляться, говорит Сергей Черномашенцев. Но обращает внимание: если ресурс Bug Bounty будет государственным, то, скорее всего, на нем будет не очень много белых хакеров, которые будут добросовестно докладывать о найденных уязвимостях, не эксплуатировать их и не бояться того, что к ним могут применить какие-то санкции.

Руководитель группы разработки продуктов и решений Linxdatacenter Евгений Макарьин видит основной риск импортозамещения в том, что объекты КИИ – это в основном автоматизированные системы управления технологическим процессом (АСУТП), которые предполагают непрерывную работу и крупные издержки, связанные с остановкой технологического процесса.

______

* Значимый объект критической информационной инфраструктуры – объект КИИ, которому в соответствии с требованиями Федерального закона от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» присвоена одна из категорий значимости и который включен в реестр ЗОКИИ.

Автор: Марина Новикова