Правительство и ЦБ определят жесткий порядок перехода на отечественный софт

Минцифры подготовило законопроект, согласно которому правительство и ЦБ смогут определять перечень объектов критической информационной инфраструктуры (КИИ) – объектов, которые по указу президента России от 30 марта 2022 г. должны будут с 2025 г. обязательно перейти на отечественный софт. Об этом рассказали источники «Ведомостей» в телекомоператоре и профильной ассоциации. Обсуждение этой инициативы подтвердил собеседник в правительстве, а подлинность документа – собеседник в компании-интеграторе.

«Ведомости» ознакомились с текстом законопроекта. Предложенная инициатива предусматривает внесение изменений в закон «О безопасности КИИ», а текущая версия документа согласована ФСТЭК, ФСБ и Минфином. Также к документу прикреплен положительный отзыв ЦБ.

О том, что Минцифры работает над правилами о порядке и сроках перевода объектов КИИ на отечественные IТ-решения, «Ведомости» писали в мае 2023 г. Законопроект в текущей редакции рассматривался на заседании правительственной комиссии по законопроектной деятельности 12 февраля, поясняет источник в телекомоператоре.

Как устроен новый порядок

Речь идет об отдельных системах или объектах в компаниях (субъектах КИИ), к которым относятся государственные ведомства и организации из областей здравоохранения, науки, транспорта, связи, банковской сферы, ТЭКа, перечисляет старший аналитик по информационной безопасности «Лиги цифровой экономики» Елена Камышная. Сегодня субъекты КИИ могут сами категоризировать значимость своих объектов и, например, не относить их к КИИ, объясняет эксперт.

Сейчас рассматривается уже третья редакция закона, которая предполагает более жесткую нормативную базу, ясные требования и невозможность их обойти, отмечает генеральный директор инженерной компании «Уралэнерготел» (выполняет работы по проектированию и внедрению КИИ) Алексей Бельский.

Ключевые изменения касаются категорирования объектов КИИ. Так, госорганы и ЦБ должны по согласованию с ФСТЭК сформировать перечни типовых отраслевых объектов КИИ, включающих в себя типы информационных систем и выполняемых ими функций и видов деятельности. Если субъекты КИИ предоставят недостоверные или неполные сведения об объектах, то ФСТЭК в течение 30 дней может направить организациям требования об устранении нарушений. Организация же в течение 10 дней должна исправить недоработки, на которые обратил внимание регулятор.

Штрафы за неисполнение требований регулятора или неисправление нарушений в документе не прописаны.

Согласно законопроекту, помимо формирования перечня типовых объектов КИИ правительство должно будет установить порядок закупок и использования телекомоборудования и программно-аппаратных комплексов (ПАК) иностранного происхождения. Также Минцифры предлагает наделить правительство и ЦБ полномочиями устанавливать порядок и сроки перехода финансовых организаций – субъектов КИИ на «преимущественное использование российского ПО и отечественной радиоэлектронной продукции, в том числе телекомоборудования и ПАК, на принадлежащих им значимых объектах КИИ».

После внесения изменений в закон могут быть дополнительно приняты подзаконные акты, говорится в документе. В частности, в течение полугода после вступления в действие закона должны быть закреплены в форме постановлений правительства требования к ПО, радиоэлектронной продукции, используемых на значимых объектах КИИ. Также в указанный период будут установлены сроки, порядок перехода и мониторинга субъектов КИИ.

Категории занижаются

Рынок импортозамещения ПО для объектов КИИ в 2022 г. составлял примерно 200 млрд руб., оценивал замруководителя направления «Безопасная информационная инфраструктура» АНО «Цифровая экономика» Максим Чернов. По его словам, общее число субъектов КИИ достигало 50 000.

Инициатива Минцифры является логическим продолжением рекомендаций по формированию отраслевыми регуляторами типовых отраслевых объектов КИИ, уже принятых правительством в 2018 г., рассуждает директор по взаимодействию с органами государственной власти Postgres Professional Михаил Хазов. Такие типовые перечни уже приняты в ряде отраслей и служат ориентиром для организаций при планировании работ по категорированию объектов КИИ, но не являются обязательными, отмечает эксперт. Если раньше следование перечням при категорировании носило понятийно-рекомендательный характер, то с помощью законопроекта их сделают обязательными, соглашается заместитель директора департамента информационной безопасности Step Logic Денис Пащенко.

Сейчас проблема заключается в том, что субъекты КИИ во многих случаях намеренно занижают категории значимости своих объектов, именно этим можно объяснить намерение Минцифры доверить профильным ведомствам функцию категорировать объекты, полагает архитектор IT-инфраструктуры практики «Стратегия трансформации» компании «Рексофт консалтинг» Александр Черный. Присвоение категории КИИ объекту обязывает предприятие выполнить перечень мероприятий по локализации объекта и его защите, что чаще всего сложно, дорого и не всегда выполнимо, например в случае отсутствия отечественных решений, объясняет эксперт.

Проблема правильного отнесения объектов КИИ к значимым существует давно: многие субъекты КИИ необъективно выделяли и объединяли объекты для снижения категории значимости, согласна ведущий консультант по информационной безопасности Innostage Татьяна Никонорова.

«К примеру, система управления багажом внутри аэропорта не относится к КИИ, при этом мы понимаем, что, когда эта система перестанет работать, произойдет коллапс, что вызовет недовольство пассажиров, – объясняет источник в правительстве. – Сейчас собственник рассуждает так: придать объекту статус КИИ – это взять на себя дополнительную ответственность, поэтому пусть лучше объект не имеет такого статуса».

КИИ потребует средств

Важно, чтобы разработанные типовые перечни помогали банкам верно категорировать объекты КИИ, снижали бы количество спорных ситуаций, сделали процесс категорирования более удобным, понятным и прозрачным, подчеркивает вице-президент Ассоциации банков России Алексей Войлуков. В частности, есть надежда на то, что даже в условиях импортозамещения у финансовых организаций «в безысходных ситуациях будет возможность закупать иностранное ПО или оборудование или временно использовать имеющееся, когда речь идет об операционной надежности или бесперебойности работы банка».

Реализация требований к КИИ предполагает формирование программы проектов, многие из которых требуют значительного финансирования и сроков реализации, измеряемых месяцами, если не годами, обращает внимание партнер, лидер практики технологического консультирования компании ДРТ (бывш. Deloitte в России) Тимофей Хорошев. Соответственно, чем позже объект будет идентифицирован как объект КИИ, тем позже предприятие сможет реализовать требования закона в отношении данного объекта, говорит он. К примеру, процесс миграции промышленного ПО, работающего с высоконагруженной системой управления базой данных (СУБД), может потребовать до года, а в сложных случаях – и до двух лет, поэтому организации должны задуматься о переходе заблаговременно, отмечает Хазов.

На первый взгляд положительная инициатива может быть воспринята рынком негативно, говорит коммерческий директор РДТЕХ Светлана Иванова, поясняя, что попытка бюрократизировать процесс может привести к его затягиванию. Намного важнее и эффективнее было бы экономическое стимулирование владельцев КИИ и разработчиков к ускоренному созданию и внедрению замещающих инфраструктурных решений, резюмировала она.

«Ведомости» направили запросы в Минцифры, ФСТЭК и ЦБ.