В марте в Нижнем Новгороде прошел Конгресс по цифровизации нефтегазовой отрасли NEFT 4.0. Деловую программу мероприятия посвятили цифровой трансформации промышленности, развитию отечественного ПО и оборудования для нефтегазовой отрасли, а также перспективам импортозамещения. Среди спикеров мероприятия - представители компаний «Сибур», «Лукойл», «Зарубежнефть», «Казаньоргсинтез», «Яндекс», «Астра», «Сургутнефтегаз», «Газпром нефть» и других российских предприятий.
В рамках стратегической панели «Развитие цифровых технологий в РФ в условиях ограничений» Николай Вавилов, заместитель руководителя программы проектов, и Кирилл Подрес, главный специалист «Газпром проектирования», представили доклад о подходах к безопасной разработке информационных систем с применением отечественных компонентов на примере реализации геоинформационной системы Группы «Газпром».
Геоинформационная система Группы «Газпром» позволяет интегрировать производственные данные на цифровой карте. Она помогает сократить время выполнения работ, снизить количество перепроектирований, а также повысить качество проектных решений и отчетных материалов. В первой очереди геоинформационной системы работает 600 пользователей, во второй планируется подключение уже 2 000.
Необходимость выполнения требований по импортозамещению приводит к изменению подходов к проектированию информационных систем. Отечественные компоненты, призванные заменить зарубежные аналоги, зачастую не имеют достаточного объема примеров использования. Для апробации работоспособности и совместимости российских компонентов целесообразно до утверждения технического проекта выделять этап прототипирования. В составе команды на этом этапе работают архитектор ИТ-решения, специалист по прикладному ПО, специалист по системно-технической инфраструктуре, а также эксперты по информационной безопасности.
«Важной составляющей процесса реализации систем, построенных на отечественных компонентах, является совместная работа с российскими поставщиками программных продуктов и операционных систем, начиная с самых ранних стадий проекта. Среди необходимых шагов – заключение договоров на техническую поддержку по выбранным компонентам, включение компонентов в основные репозитории пакетов российских операционных систем, создание выделенных каналов технической поддержки, а также работы по переводу технической документации для свободного программного обеспечения».Николай Вавилов заместитель руководителя программы проектов «Газпром ЦПС»
Для безопасной разработки важно учитывать угрозы источника, сборки и зависимостей. Отличительной особенностью использования свободного программного обеспечения (СПО) является отсутствие описания требований по настройке параметров информационной безопасности и отсутствие ответственности за наличие уязвимостей в исходном коде. Использование СПО несёт риски, которыми нужно уметь управлять и принимать меры по их снижению. При работе со стеком российских компонентов нивелировать риски позволяет соблюдение подходов разработки SBOM (Software Bill of Materials), которая представляет собой перечень зависимостей, файлов, библиотек и других элементов, а также SLSA (Supply-chain Levels for Software Artifacts) --методологии описания и последовательного увеличения безопасности использования зависимостей ПО.
