Информсистемы оценят критически
У производителей ПО может появиться очередной реестр
Законопроект Минцифры о безопасности критической информационной инфраструктуры (КИИ) не только наделит правительство правом самостоятельно определять компании, относящиеся к ней, но и приравняет их IT-системы к критически значимым объектам. В перспективе, считают участники рынка, это приведет к созданию реестра софта, разрешенного для использования в таких системах. Инициатива может привести к избыточному регулированию и значимых отраслей и компаний, полагают эксперты.
Фото: Глеб Щелкунов, Коммерсантъ
Законопроект о безопасности КИИ, разработанный Минцифры, прошел согласование с федеральными органами власти, рассказали “Ъ” в министерстве: «Он наделяет правительство полномочиями определять для каждой отрасли (а не только госкомпаний) типовые решения, которые будут отнесены к объектам КИИ, а также устанавливать для них сроки перехода на российские решения». В Минцифры рассчитывают, что законопроект будет внесен правительством в Госдуму «либо до, либо в начале осенней сессии».
Также правительство выберет типовые IT-решения, которые будут отнесены к объектам КИИ, уточняет источник “Ъ”, знакомый с ходом подготовки инициативы.
То есть к объектам КИИ приравняют сами информсистемы, используемые в тех или иных отраслях, объясняет собеседник “Ъ”: «Такая система может включать в себя несколько элементов, например софт для управления базами данных или производством и другие решения».
К субъектам КИИ относятся госорганы, организации в области связи, здравоохранения, науки, транспорта, энергетики, банковской сферы, топливно-энергетического комплекса и других значимых отраслей экономики. Объекты КИИ — это инфраструктура, которую контролирует тот или иной объект (предприятие, линии связи и т. д.). По требованиям 187-ФЗ есть три категории степени значимости КИИ. О подготовке законопроекта в ноябре 2022 года заявлял глава Минцифры Максут Шадаев, объясняя его актуальность тем, что «компании пренебрегают правом самостоятельного категорирования».
«Сейчас субъекты КИИ категорируют себя сами по постановлению правительства 127, ФСТЭК может с результатами категорирования согласиться или нет,— объясняет бизнес-консультант по кибербезопасности Positive Technologies Алексей Лукацкий.— Многие субъекты просто занижают категорию или вовсе не категорируют себя». Принадлежность к КИИ накладывает на организации ряд условий работы, в том числе по обеспечению безопасности и импортозамещению. Так, согласно указу президента от марта 2022 года, госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение на объектах КИИ с 1 января 2025 года.
Владимир Путин, президент РФ, 13 июля на форуме технологий «Вычисления и связь. Квантовый мир»:
«Многие критические технологии мы покупали, что называется, в чужом магазине, в своего рода супермаркете готовых, кем-то произведенных решений, а в какой-то момент перед нами просто плотно затворили дверь и повесили вывеску "Закрыто"».
Категорирование самих информсистем значимых отраслей, по сути, расширит сферу действия закона путем включения объектов, которые ранее таковыми не были, отмечает советник гендиректора по юридическим вопросам ГК «Цифра» Андрей Яцков. Он предполагает, что в перспективе будет создан реестр софта, рекомендованного для использования на предприятиях и в организациях в различных отраслях экономики.
Во многих отраслях, к которым относятся субъекты КИИ, есть уже сложившийся стек используемых технологий: например, в промышленности есть типовые информационные системы, действующие на разных уровнях управления и разных участках производства, отмечает консультант по кибербезопасности Aktiv.Consulting Александр Моисеев: «Прежде всего это автоматизированные системы управления технологическим процессом, управляющие оборудованием и т. д.». Нарушение их работы может иметь последствия для жизни и здоровья персонала, а также экологии, подчеркивает он.
Для банковской отрасли объектами КИИ являются такие базовые решения, как, например, автоматизированная банковская система, процессинг и системы дистанционного банковского обслуживания, отмечает директор департамента трансформации и операционного контроля информационных технологий ПСБ Игорь Панов. По его словам, банк сам категорирует свои информсистемы. В МТС, Tele2, «МегаФоне» и «Вымпелкоме» не ответили на запросы. Компании ТЭКа не прокомментировали инициативу Минцифры.
«Информсистемы — один из сложнейших элементов, требующих защиты, и их необходимо отнести к категории КИИ»,— признает президент Ассоциации российских банков Гарегин Тосунян. Однако, уточняет он, такой шаг может «усилить регуляторные барьеры для отрасли». Новый законопроект способствует тому, что специалистам субъектов КИИ будет проще проводить категорирование на основе утвержденных правительством перечней, возражает Александр Моисеев: «Аудиторам со стороны регуляторов и ведомств также будет проще проверять категорирование, особенно в организациях, где есть отраслевая специфика».