Минцифры готовит законопроект о принципах определения критичности инфраструктуры

Сейчас компании часто занижают степень значимости информационных систем
Правительство определит перечень объектов критической информационной инфраструктуры, а также сроки их перехода/ Андрей Гордеев / Ведомости

Минцифры работает над законопроектом, в соответствии с которым правительство будет определять перечень объектов критической информационной инфраструктуры (КИИ), а также сроки их перехода на отечественные решения. Об этом рассказал «Ведомостям» источник в правительстве и подтвердил собеседник в IT-компании, знакомый с ходом обсуждения законопроекта. По их словам, законопроект уже согласован с заинтересованными сторонами и в ближайшее время будет внесен в Госдуму.

20 марта 2022 г. президент Владимир Путин подписал указ, согласно которому госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение (ПО) на объектах критической информационной инфраструктуры (КИИ) с 1 января 2025 г.

К субъектам КИИ относятся государственные органы и организации из областей здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, топливно-энергетического комплекса, которые владеют объектами критической инфраструктуры, перечисляет старший аналитик по информационной безопасности Лиги цифровой экономики Елена Камышная. Сегодня субъекты могут сами категоризировать значимость объектов и не относить их к КИИ, объясняет эксперт.

Далее перечень объектов подлежит согласованию с государственным органом или российским юридическим лицом, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ.

Для значимых объектов КИИ определены жесткие технические и организационные требования по ИБ, соглашается руководитель направления информационной безопасности CorpSoft24 Демьян Раменский. Поэтому некоторые операторы информационных систем сознательно стараются занизить категорию «значимости» своих объектов или вообще уйти от нее, так как чем ниже категория «значимости», тем легче требования регуляторов, говорит он.

«К примеру, система управления багажом внутри аэропорта не относится к КИИ, при этом мы понимаем, что, когда эта система перестанет работать, произойдет коллапс, что вызовет недовольство пассажиров, – объясняет источник в правительстве. – Сейчас собственник рассуждает так: придать объекту статус КИИ – это взять на себя дополнительную ответственность, поэтому пусть лучше объект не имеет такого статуса».

Во многих отраслях промышленности (ТЭК, металлургия, химическая промышленность и т. д.) применяются информационные системы, задействованные в планировании и оптимизации производства, но они не всегда рассматриваются комиссиями по категорированию как объекты КИИ, приводит примеры руководитель группы аудита соответствия требованиям КИИ «Инфосистемы джет» Илья Воложанин. В действительности же их значимость очень высока, и в худших сценариях потенциальные последствия могут грозить полной остановкой производственных процессов.

Действительно, предприятия часто включают в список объектов КИИ системы класса АСУТП (автоматизированная система управления технологическим процессом), но уже следующий уровень систем класса MES (система управления производственными процессами) или ERP (планирование ресурсов предприятия) у предприятий может быть соблазн не включать в список КИИ, приводит примеры партнер департамента управленческого консультирования ДРТ Тимофей Хорошев. Хотя эти системы также обеспечивают работу критических бизнес-процессов, без MES производство остановится, без ERP крупное предприятие едва ли сможет работать больше недели, перечисляет Хорошев.

Не всегда к объектам КИИ относятся ЦОДы, точки обмена трафиком, магистральные сети связи, пограничные кабельные переходы, приводит примеры генеральный директор «Комфортела» Дмитрий Петров. Кроме того, как субъекты критической инфраструктуры не отмечены организации, работающие в сфере водоснабжения и обеспечения населения водой, добавляет ведущий юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Анна Сарбукова. Тогда как информационные системы таких организаций должны быть, безусловно, отнесены к объектам КИИ, считает она.

По причине того что более высокий уровень требует бо́льших затрат на обеспечение безопасности, категории занижаются, знает заместитель генерального директора компании «Гарда технологии» Рустэм Хайретдинов. «Уровень критичности информационных инфраструктур в стране оценен ниже, чем есть на самом деле. Наиболее заметно это в сегменте малых и средних предприятий, где принято экономить на всем, оптимизировать подход к выплате налогов», – говорит он.

Геополитические факторы требуют форсирования «взросления» защиты КИИ, полагает руководитель центра комплексной безопасности «Ланита» Дмитрий Дудко. Идею, что правительство будет определять, что относится к КИИ, он считает правильной: в этом случае главным критерием будут вероятные последствия возможных инцидентов.

Одно дело ждать, пока эти вопросы решат на уровне конкретной компании по своему усмотрению, и совсем другое – иметь инструмент, обязывающий руководство выполнять комплекс требований по защите КИИ, как его видит само государство, рассуждает гендиректор компании «Аэродиск» Вячеслав Володкович. По его предположению, «игры в демократию» в этом направлении кончились, поскольку поджимают и сроки, и общий объем задач по обеспечению ИБ в масштабах страны.

Вероятнее всего, владельцы объектов КИИ сорвут сроки перехода на отечественное ПО, полагают опрошенные «Ведомостями» эксперты. Требование всех к 2025 г. обязательно перевести на отечественное ПО не соответствует целям обеспечения безопасности: спешка и внедрение непроверенных решений может обернуться отказом критически важной инфраструктуры, предупреждает Петров. Эффективнее и безопаснее будет внести изменения в требования о переходе и дать возможность Минцифры определять отсрочки по тем или иным видам ПО.

Операторы КИИ разделены на две большие группы: промышленные КИИ, которые обеспечивают деятельность производственного процесса заводов и предприятий, и сервисные КИИ, куда входят информационные системы банков и госорганов, обращает внимание Дудко. В первом случае компании, начавшие переход в 2023 г., имеют шанс успеть к декабрю 2025 г. Во втором случае переход на отечественное ПО возможен при своевременном начале работ и достаточном финансировании, указывает он.

К примеру, заменить ПО процессинга платежей по банковским картам – это нетривиальная задача, так как с ней интегрировано множество других информационных систем банка и замена может повлечь модернизацию всего связанного IТ-ландшафта, который отлаживался годами, говорит Воложанин.

С другой стороны, если не создавать «давление», то и к 2035 г. переход не состоится, считает Хорошев. Стимулировать к ускорению перехода на отечественные решения в КИИ может наступление ответственности компаний и даже определенных топ-менеджеров за невыполнение, полагает Володкович. По его словам, сегодня около 80–90% задач по защите КИИ решается доступными российскими программными инструментами.

Представители Минцифры и правительства не ответили на запрос «Ведомостей» к моменту сдачи материала.