Организации обзаведутся значимыми объектами критической информационной инфраструктуры
Изменения предполагаются в федеральный закон от 26 июля 2017 г. №187 "О безопасности критической информационной инфраструктуры Российской Федерации". Над законопроектом работало Министерство цифрового развития, связи и массовых коммуникаций. Предполагается, что он вступит в силу 1 марта 2025 г.
Объекты критической информационной инфраструктуры (КИИ) - информсистемы, сети, системы управления, функционирующие в сферах здравоохранения, науки, транспорта, связи, финансов, энергетики, атомной энергии, обороны, горной добычи, металлургии, химической промышленности и топливно-энергетического комплекса, госрегистрации прав на недвижимое имущество, ракетно-космической сфере.
Субъекты КИИ - организации или индивидуальные предприниматели, владеющие этими информсистемами или их арендующие.
Согласно изменениям, правительство и Центробанк (ЦБ) смогут формировать требования к используемым на значимых объектах КИИ программному обеспечению (ПО) и радиоэлектронной продукции, в том числе к телекоммуникационному оборудованию и программно-аппаратным комплексам (ПАК). Правительство будет устанавливать случаи и порядок согласования использования иностранной продукции.
В банковской и финансовой сферах это будет происходить при согласовании с ЦБ.
Ведущий консультант по информационной безопасности ООО "Инностейдж" (Innostage) Анастасия Ильина объяснила ComNews, что для некоторых значимых объектов КИИ нет аналогов отечественного ПО или переход на него невозможен ввиду технических особенностей объекта, поэтому в законопроекте допускается возможность использования иностранных программ и радиоэлектронной продукции.
Документ должен усовершенствовать категорирование объектов КИИ. Правительство и Центробанк будут определять в каждой отрасли типы информационных систем, которые нужно будет относить к значимым объектам КИИ. Всего категорий значимости три: первая, вторая, третья.
"В целях надлежащего категорирования объектов критической информационной инфраструктуры государственные органы, Центральный банк Российской Федерации и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, формируют перечни типовых отраслевых объектов критической информационной инфраструктуры, включающие в себя наименования типов информационных систем, выполняемых функций и видов деятельности", - сказано в законопроекте. Таким же образом будут утверждены указания по присвоению категорий объектам КИИ.
Также правительство и ЦБ займутся сроками импортозамещения. Ранее по указу регламентировались сроки для госорганов и госкомпаний: они должны отказаться от иностранного ПО на объектах КИИ с 1 января 2025 г. (указ президента РФ от 30.03.2022 №166). Согласно новому законопроекту, для не принадлежащих государству значимых объектов КИИ сроки перехода будут устанавливаться в зависимости от готовности отечественных решений. Для определения сроков и перечня значимых объектов КИИ будут приняты отдельные документы.
Переход и соблюдение сроков будут контролировать отраслевые ведомства.
Согласно сообщению Минцифры, ведомство столкнулось с проблемой, что многие компании не хотели относить объекты КИИ к значимым. "Относить или нет объект КИИ к значимому, определяет собственник той или иной информсистемы. Зачастую компании этим пренебрегают и минимизируют количество систем, которые определяются как значимые объекты КИИ. Законопроект позволит установить для каждой отрасли уникальный перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным", - написано на сайте ведомства.
Также в законопроекте сказано, что если субъект КИИ предоставит недостоверные или неполные сведения об объектах КИИ, то он в течение 30 дней получит требование от Федеральной службы по техническому и экспортному контролю (ФСТЭК) об исправлении сведений. На актуализацию и предоставление сведений у организаций будет 10 дней.
Минцифры называет целями законопроекта импортозамещение и инфобезопасность значимых объектов КИИ.
За 2023 г. количество кибератак на критическую инфраструктуру увеличилось на 21% в сравнении с аналогичным периодом 2022 г. Такие данные приводит директор ООО "Айдеко" (Ideco) Дмитрий Хомутов. "Переход на отечественные ИТ-решения поспособствует укреплению защиты организации и снижению рисков утечек конфиденциальной информации. Уменьшится число взломов и киберуязвимостей", - считает Дмитрий Хомутов.
Однако новые изменения пока ничего нового в имеющийся закон не привносят - нужно дождаться подзаконных актов, которые будут приняты в связи с ним. И влияние на деятельность субъектов КИИ будет зависеть именно от них, объясняет Виктор Точилин, Начальник научно-производственного центра №2 АО "НППКТ".
В январе 2024 г. Министерство промышленности и торговли РФ и ФСТЭК утвердили перечни типовых объектов критической информационной инфраструктуры (КИИ) России в области металлургии, горнодобывающей промышленности и оборонно-промышленного комплекса. Ранее они утвердили аналогичный перечень в сфере химической промышленности.
Как организации занижали значимость КИИ
Сразу несколько экспертов подтвердили ComNews, что организации не стремились относить объекты КИИ к значимым или занижали категорию значимости. Представитель пресс-службы ООО "АТ Груп" (Angara Security) рассказал, что в 2023 г. подавляющее большинство организаций не прошли процедуру категорирования.
Игроки рынка считают, что это создавало угрозы для информационных систем, так как уровень их защищенности снижался. "Законопроект упорядочит эти процессы и позволит регулятору самостоятельно провести анализ и категорирование информационных систем, подпадающих под регулирование федерального закона. Это не только снизит риски информационной безопасности, но и создаст дополнительный спрос на решения российских разработчиков ПО", - дал комментарий Ренат Лашин, исполнительный директор АРПП "Отечественный софт". Он добавил, что ассоциация рассчитывает, что сроки перехода субъектов КИИ на отечественные решения будут "максимально сжатыми".
Генеральный директор АО "ИВК" Григорий Сизоненко объяснил, что, занижая категорию значимости, субъекты КИИ избегали дополнительных затрат на обеспечение безопасности.
В целом опрошенные ComNews компании положительно оценили законопроект и, в частности, регулирование категорирования. "Категорирование позволит, с одной стороны, скорректировать планы по импортозамещению в ряде организаций, которые относятся к КИИ на данный момент, а с другой - выявить неучтенные признаки КИИ, чтобы бизнес и госструктуры могли также своевременно выполнить требования регуляторов рынка", - сказал представитель пресс-службы Angara Security.
С какими сложностями столкнутся субъекты КИИ
Директор Ideco Дмитрий Хомутов отметил, что переход с одного софта на другой - долгая и дорогостоящая процедура. "За 2023 г. комплектующие, составляющие порядка 30-40% от цены продукта, возросли в цене на 15-20%. На конечной стоимости оснащения это сказывается примерно на 10%", - рассказал он. Также он отметил, что компаниям придется вложить средства и время на переобучение сотрудников, чтобы они могли пользоваться новым ПО.
АО "НППКТ" считает, что законопроект поможет импортозамещению, но отмечает места, которые требуют доработки. По мнению Виктора Точилина, предприятия финансового рынка ставятся в привилегированное положение, хотя спектр используемого ими оборудования и ПО ограничен по сравнению с другими отраслями. Также он отметил, что при разработке требований к ПО и оборудованию необходимо учитывать действующие нормативные документы ФСТЭК по защите информации на объектах КИИ, но ФСТЭК планируется привлекать только для подготовки изменений в постановление от 8 февраля 2018 г. №127. Кроме того, Виктор Точилин опасается, что введение перечней типовых объектов КИИ приведет к "палочной" системе категорирования и мониторинга.
"Предлагаемые поправки требуют обсуждения не только на уровне министерств и ведомств, но и привлечения к нему экспертного сообщества, и формирования предложений по доработке", - подытожил Виктор Точилин.
