Минцифры подготовило законопроект, который позволит правительству и ЦБ определять перечень объектов критической информационной инфраструктуры (КИИ), сообщили «Ведомости» со ссылкой на источники в телеком-операторе и профильной ассоциации. С 2025 года такие объекты должны перейти согласно указу президента на отечественный софт.

Также правительство будет устанавливать порядок закупок и использования телеком-оборудования и программно-аппаратных комплексов (ПАК) иностранного происхождения. Кроме того, правительство и ЦБ наделят полномочиями устанавливать порядок и сроки перехода финансовых организаций — субъектов КИИ на «преимущественное использование российского ПО и отечественной радиоэлектронной продукции, в том числе телекомоборудования и ПАК, на принадлежащих им значимых объектах КИИ».

Источник изображения: ФСТЭК

Эксперты отмечают, что это уже третья редакция закона, которая содержит более жёсткую нормативную базу, ясные требования и невозможность их обойти. При этом попытка бюрократизировать процесс импортозамещения может привести к его затягиванию — более эффективным было бы экономическое стимулирование владельцев КИИ и разработчиков.

Ключевые изменения касаются вопроса категорирования объектов КИИ. Госорганы и ЦБ должны по согласованию с Федеральной службой по техническому и экспортному контролю (ФСТЭК) сформировать перечни типовых отраслевых объектов КИИ, включая типы информационных систем, выполняемых ими функций и видов деятельности. Законопроектом предусмотрены сроки устранения недоработок при предоставлении сведений о КИИ, хотя штрафы за невыполнение требований не прописаны.

В настоящее время субъекты КИИ могут сами категоризировать свои объекты и не относить их к КИИ во избежание лишних хлопот, поскольку это обязывает выполнять целый ряд мероприятий по локализации и защите объекта, что чаще всего сложно, дорого и не всегда реализуемо, если, например, на рынке нет соответствующих отечественных решений, поясняет эксперт.

Компания «К2 Кибербезопасность» обнародовала результаты исследования, в ходе которого оценивался уровень защищённости субъектов критической информационной инфраструктуры (КИИ) в России. Речь идёт об организациях и предприятиях, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы, а также государственных, медицинских и прочих служб.

Данные получены на основе опроса 108 представителей российских компаний из ключевых сегментов экономики с выручкой более 5 млрд руб. В исследовании участвовали субъекты нефтегазовой промышленности, металлургии, электроэнергетики, сферы здравоохранения и пр. Опрос проведён в июне–августе 2023 года.

Источник изображения: pixabay.com

Установлено, что практически каждый третий (32 %) субъект КИИ в России сталкивался с киберинцидентами разной степени серьёзности. Как минимум 35 % из них сопряжены с ущербом, который можно оценить в деньгах. Чаще всего атаки на КИИ оборачиваются простоем сервисов: основными причинами таких инцидентов называются DDoS-атаки и взломы сайтов. Другие негативные последствия — репутационный ущерб, потеря данных без возможности восстановления и непосредственные финансовые убытки.

Авторы исследования выяснили, насколько респонденты готовы к исполнению требований закона «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ), принятого ещё в 2018 году. Значительное число компаний ещё не знают, какие решения им понадобятся для реализации требований — с планами не определились 24 % опрошенных. Чёткое представление о предстоящих закупках имеют 68 % субъектов.

Изображение: «К2 Кибербезопасность»

Оказалось, что большинство компаний скептически относятся к возможности реализации проектов защиты КИИ на базе отечественных решений. Так, 31 % категорически не удовлетворены тем, что предлагает рынок. С другой стороны, 48 % респондентов уверены в том, что российские продукты справятся с требованиями закона.

Среди компаний, которые уже приступили к работам, только 7 % полностью завершили проекты по созданию системы обеспечения информационной безопасности, удовлетворяющей требованиям 187-ФЗ. Около 14 % находятся на завершающих этапах, ещё 34 % занимаются организационной работой и 35 % только начинают или планируют начать эту деятельность. При этом только 29 % опрошенных заявляют, что ещё не столкнулись с серьёзными сложностями на различных этапах реализации проекта.

Президент РФ подписал указ, увеличивающий штат работников Федеральной службы по техническому и экспортному контролю и расширяющий её полномочия по управлению безопасностью значимых объектов критической информационной инфраструктуры (КИИ). Об этом сообщает издание D-Russia.ru со ссылкой на официальный портал правовой информации.

Согласно документу, предельная штатная численность центрального аппарата ведомства будет увеличена с 260 до 289 сотрудников, территориальных органов — с 1012 до 1101 работника (без учёта персонала для охраны и обслуживания зданий). Также указ наделяет ФСТЭК России полномочиями по созданию информационной автоматизированной системы для управления деятельностью по технической защите информации и обеспечению безопасности значимых объектов КИИ.

В рамках своей компетенции ФСТЭК России будет вести централизованный учёт информационных систем и иных объектов КИИ по отраслям экономики, а также мониторинг и оценку текущего состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры. Также в числе обязанностей ведомства значится оперативное информирование органов власти, местного самоуправления и организаций об угрозах безопасности информации и уязвимостях информационных систем и иных объектов КИИ, а также о мерах по технической защите от этих угроз и уязвимостей.

Список объектов критической информационной инфраструктуры страны включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Каждая пятая компания, владеющая критической инфраструктурой (КИИ), не успеет перейти на российскоге ПО к 2025 году из-за отсутствия подходящего аналога зарубежным продуктам. Такие данные представлены в совместном исследовании «К2 кибербезопасности» (подразделение компании «К2Тех») и Anti-Malware.ru.

Авторы исследования в июне–августе 2023 года опросили 108 руководителей по ИТ и ИБ российских компаний с выручкой более 5 млрд руб. и госкорпораций в разных отраслях, а также представителей разработчиков аппаратного и программного обеспечения для кибербезопасности. Напомним, что согласно указу президента от 30 марта 2022 года, с 1 января 2025 года госкомпаниям запрещено использовать иностранное ПО и оборудование для обеспечения работы КИИ.

Источник: «К2Тех»

58 % опрошенных компаний уверены в том, что успеют уложиться в сроке и реализовать все требования закон, тогда как 21 % компаний полагают, что не успеют вовремя реализовать необходимые проекты. Основным препятствием последние называют сложности с заменой иностранных решений на отечественные, связанные как с высокой стоимостью, так и с нехваткой оборудования. При этом 2 % компаний сказали, что у них в принципе нет средства на реализацию требований 187-ФЗ, ещё 44 % были вынуждены кратно увеличить расходы на ИБ, причём у 14 % компаний бюджеты выросли сразу на порядок.

Источник: «К2Тех»

Как показало исследование, лишь 8 % российских компаний завершили переход с иностранного на российское ПО. Еще 14 % находятся на завершающей стадии, а 10 % не приступали к переходу. При этом 24 % респондентов не понимают, какие решения нужны для выполнения указа, а 31 % уверены, что отечественные решения неспособны справиться с предъявляемыми требованиями. Среди наиболее востребованного ПО опрошенные называли межсетевые экраны (54 % респондентов), антивирусную защиту (33 %), сетевое оборудование (29 %) и средства криптографической защиты (25 %).

Источник: «К2Тех»

Участники рынка отмечают, что проблемы с выполнением законодательства в области КИИ связаны с тем, что многие владельцы подобных объектов не занимаются присвоением категорий, что является нарушением требований законодательства. К КИИ относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных, медицинских, телекоммуникационных и ряда других компаний.

Минцифры, по информации газеты «Ведомости», намерено включить локализацию производства оборудования в перечень критериев для оценки технологической независимости критической информационной инфраструктуры (КИИ). Это, в частности, необходимо в свете сложившейся геополитической обстановки.

В соответствии с утверждёнными требованиями, с 1 января 2025 года на значимых объектах КИИ могут использоваться только программные продукты, включённые в реестр российского или евразийского ПО. Кроме того, госорганам и организациям запрещается применять средства защиты информации из недружественных стран.

Источник изображения: Delta Computers

В июне 2023-го премьер-министр Михаил Мишустин поручил Минцифры «проработать вопрос формирования системы оценки уровня соответствия КИИ требованиям по технологической независимости». В ответ в ведомстве предлагают оценивать наличие отечественных разработок, производственных линий высокотехнологичной продукции, а также наличие необходимых кадровых ресурсов и научных и технологических заделов у владельцев КИИ.

Разрабатываемая система оценки необходима для понимания того, насколько владельцы объектов КИИ готовы к переходу на отечественные программные и аппаратные решения, а также к их разработке и производству к 2025 году. Наработки Минцифры лягут в основу системы показателей технологического суверенитета, о которой говорится в Концепции технологического развития до 2030-го. В соответствии с этим документом к концу десятилетия Россия «должна обладать собственной научной, кадровой и технологической базой критических и сквозных технологий». Речь идёт об организации производства высокотехнологичной продукции — чипов и другой микроэлектроники, высокоточных станков и робототехники, авиакосмической техники, беспилотников, медицинского оборудования, телекоммуникационной техники и ПО.

Согласно исследованию «Нормативные правовые акты в сфере информационной безопасности (ИБ) и цифровой экономики по итогам 2021–2022 года» компании InfoWatch, в 2022 году в России было принято 257 нормативных правовых актов, касающихся регулирования сфер ИБ, ИТ и цифровой экономики в целом.

Это в количественном отношении на 11,6 % меньше по сравнению с предыдущим периодом. Однако распределение неравномерно. Так, доля актов в области цифровой экономики, ИБ и безопасности КИИ выросла. В сфере цифровой экономики нормативная база которой менялась более чем в половине случаев (51,8 %). Информационная безопасность по активности законодателей оказалась на втором месте (20,6 %), на третьем — категория «Биометрия и персональные данные» (10,9 %). Затем идут безопасность КИИ (5,8 %) и импортозамещение (4,7 %).

Источник: InfoWatch

Такие данные в компании связывают со значительным обострением геополитической обстановки, так как в прошлом году множество объектов КИИ, принадлежащих российским организациям, стали подвергаться массированным кибератакам. При этом многие новые документы принимались в ускоренном порядке и в условиях близких к экстремальным.

Большинство (67,7 %) законодательных актов в 2022 году приняло Правительство РФ, на долю Президента России и Минцифры приходятся 10,5 % и 8,6 % документов соответственно. Согласно исследованию, больше всего инициатив в 2022 году было предложено на тему регулирования цифровой экономики (34 %), на втором месте — биометрия и персональные данные (21,1 %), на третьем — законодательные акты в сфере импортозамещения (15 % от общего количества).

Федеральная служба технического экспортного контроля (ФСТЭК) предложила критически значимым компаниям, куда водят операторы, банки и структуры ТЭК, запретить при использовании корпоративных почтовых систем взаимодействие с иностранными IP-адресами. Об этом узнал «Коммерсантъ» из февральской презентации ФСТЭК, посвященной особенностям обеспечения безопасности критической информационной инфраструктуры.

Так, ФСТЭК предлагает отключить удаленный доступ к критичным узлам и сетям, запретить open relay (серверы, позволяющие бесконтрольно пропускать через себя почту), а также взаимодействие через электронную почту с иностранными IP-адресами. При этом защиту следует устанавливать и от «внутренних нарушителей». Предлагается реализовать запись действий привилегированных пользователей и не допускать пересечений прав администратора и работников. Впрочем, такие меры распределения прав доступа в значимых компаниях должны уже давно использоваться.

Источник изображения: «МойОфис» / mailion.ru

Объясняет ФСТЭК свое решение тем, что в ходе экспертизы выявил ряд проблем КИИ в части кибербезопасности. К примеру, компании не учитывают взаимодействие с другими объектами КИИ и занижают размеры ущерба от нарушений работы даже после масштабных кибератак на все отрасли российской экономики в 2022 году и принятых ранее мер.

Эксперты отнеслись к предложению ФСТЭК неоднозначно. С одной стороны, уже работает ограничение зарубежных адресов, с другой — компании могут взаимодействовать с контрагентами, которые используют зарубежные IP-адреса. Кроме того, принадлежность иностранных IP-адресов регулярно меняется.

Среди российских компаний из числа системообразующих предприятий и организаций критической информационной инфраструктуры (КИИ) лишь 3 % и 1,7 % соответственно заменили иностранные операционные системы (ОС) и системы управления базами данных (СУБД) на отечественные. Об этом сообщает «Коммерсант» со ссылкой на исследование «СерчИнформ».

По данным «СерчИнформ», в процессе перехода на отечественные ОС и СУБД находятся 23 % опрошенных. В 53 % компаний его только планируют, а в 22 % — пока не намерены переходить. Как отмечают представители компаний, в целом сейчас реализуется большое количество пилотных проектов, в среднем их реализация занимает от полугода до полутора лет. Сам переход, в зависимости от сложности инфраструктуры предприятия, может составить от полугода до пяти лет. Напомним, что согласно указу президента от 30 марта 2022 года, с 1 января 2025 года госкомпаниям запрещено использовать иностранное ПО и оборудование для обеспечения работы КИИ.

Источник изображения: pixabay.com

Участники энергетической отрасли отмечают, что у крупных компаний много разнообразного ПО, зачастую сопряженного, поэтому переход на новые платформы для них становится трудной задачей. В телеком-сегменте работы по переходу на отечественные СУБД и ОС на объектах КИИ требуют перестройки бизнес-процессов управления ИТ-активами. Миграция на отечественные ОС затруднительна, так как они не поддерживают множество компонентов и прикладного ПО. В финансовом секторе наибольшие трудности индустрия испытывает при замещении автоматизированных банковских систем (АБС). Одной из основных проблем участники рынка назвали совместимость с прикладным ПО и оборудованием. В строительном сегменте и девелопменте компаниям не хватает специализированных отраслевых продуктов под отечественные платформы.

Правительство РФ отобрало 216 проектов отечественного ПО, которое будет внедрено на значимых объектах критическо-информационной инфраструктуры. Большинство из них претендует на грантовую поддержку. Первые результаты ожидаются в 2023–2024 гг., сообщил вице-премьер Дмитрий Чернышенко.

Утвержденные проекты охватывают многие отрасли: металлургию, машиностроению, электроэнергетику, транспорт, строительство, сельское хозяйство, ЖКХ и т. д. Для них будут доступны все типы современного ПО, к примеру, системы планирования ресурсов предприятий и управления производственными процессами, системы информационного моделирования. Для этих целей из федерального бюджета предусмотрено более 28 млрд руб. Также бизнес должен будет проинвестировать отобранные проекты на сумму более 155 млрд руб.

Источник: reestr.digital.gov.ru

По данным Правительства РФ, по итогам 2021 года общие затраты российских организаций на лицензии на зарубежное ПО составили около 200 млрд руб. Теперь эти высвободившиеся средства могут пойти на создание собственных ИТ-решений, уверен Дмитрий Чернышенко. Во многих случаях уже есть отечественные практически готовые аналоги, которые нужно грамотно донастроить под нужды компаний, отметил Михаил Мишустин.

Также, по словам вице-премьера, в ближайшее время планируется систематизировать и утвердить проекты центров компетенций по развитию общесистемного и прикладного ПО. Для обеспечения конкурентоспособности продукции российских разработчиков на зарубежных рынках Минпромторг и Минцифры совместно создали службу цифровых атташе.