Санитарная обработка кода
До перевода на платформу «Гостех» госинформсистемы ждет усиленная проверка
Проверка защищенности государственных информационных систем для их допуска на единую цифровую платформу «Гостех» затянется на год — до 30 марта 2024 года. Усилить безопасность ГИС потребовалось из-за масштабных атак на них после начала военной операции РФ на Украине и системных проблем — объем работ де-факто оказался больше запланированного. В Белом доме заверяют, что пролонгация эксперимента не сдвинет срок перехода на платформу ключевых федеральных ГИС — он начнется 1 апреля, но потребует расширения проверок на ведомственные системы, а также углубления самого анализа безопасности.
Премьер-министр Михаил Мишустин подписал постановление правительства №469 от 24 марта 2023 года о продлении на год, до 30 марта 2024 года, сроков эксперимента по повышению уровня защищенности государственных информационных систем (ГИС) федеральных органов исполнительной власти и подведомственных им учреждений. Документ также дополняет перечень целей эксперимента (определены постановлением правительства №860 от 13 мая 2022 года) двумя новыми — это оценка уровня защищенности ГИС и их компонентов в рамках перехода на «Гостех» и устранение найденных уязвимостей.
Де-факто речь идет о том, что перевод ГИС на платформу «Гостех» по причинам безопасности потребует больше усилий и времени, чем предполагалось.
Сам «Гостех», напомним, должен стать средой разработки гос-IT и позволить властям сэкономить на использовании уже оплаченных госзаказчиками систем другими госорганами — однако с выводом существующих систем на платформу решили не торопиться, чтобы не тиражировать код с уязвимостями.
Отметим, что после начала военных действий на Украине 24 февраля 2022 года масштабные хакерские атаки претерпели почти все ГИС (см. “Ъ” от 23 августа 2022 года). В презентации, посвященной итогам реализации нацпрограммы «Цифровая экономика», представленной вице-премьером Дмитрием Чернышенко в январе 2023 года, также отмечалось, что более половины ГИС подвержены критическим рискам отказа в обслуживании IT-инфраструктуры.
В аппарате Дмитрия Чернышенко причинами продления ревизии безопасности ГИС назвали усиление внимания к вопросам их защищенности и необходимость «утвердить перечень мер по устранению уязвимостей ГИС».
Также под проверки попадут ГИС отдельных органов власти, в отношении которых они не были предусмотрены, однако изменение сроков эксперимента никак не повлияет на реализацию указа и не изменит планы по переводу ГИС на «Гостех». В Минцифры продление эксперимента “Ъ” также объяснили тем, что «требования по информбезопасности усовершенствовали, ГИСы будут проверять на соответствие им еще тщательнее».
Сам эксперимент по повышению уровня защищенности информсистем Минцифры запустило в рамках федпроекта «Информационная безопасность» нацпрограммы «Цифровая экономика» с 16 мая 2022 года, участие в нем добровольное. Для независимого анализа текущего уровня защищенности ГИС, проверки практической возможности использования уязвимостей Минцифры в сентябре 2022 года заключило госконтракт с ООО «Визум» на сумму около 340 млн руб. Как ранее сообщали “Ъ” в Минцифры, в стране насчитывается более 500 федеральных и 2,5 тыс. региональных ГИС. В июле прошлого года вице-премьер говорил, что в приоритетном порядке будут переведены на «Гостех» 150 ГИС высокой социальной значимости. При оценке целесообразности перевода ГИС на «Гостех» Минцифры должно учитывать надежность функционирования, объем принимаемых мер для защиты информации и обеспеченность необходимой информационной инфраструктурой, заявили “Ъ” в аппарате вице-премьера. Сам поэтапный переход к обязательному использованию «Гостеха» и государственной единой облачной платформы при создании и развитии федеральных ГИС продлится с 1 апреля 2023 года до 31 декабря 2025-го (см. “Ъ” от 9 ноября 2022 года), план-график его должен был быть готов до конца марта.