Определять, какие информационные системы на предприятиях критически важны (входят в КИИ), а какие – нет, теперь будет государство. Почему так, и на что это повлияет?
Суть перемен
Напомним, что критическая информационная инфраструктура (КИИ) — совокупность информационных систем, сетей связи, информационно-телекоммуникационных систем, а также центров обработки данных, которые обеспечивают управление процессами жизнеобеспечения общества, экономики и государственного управления. Грубо говоря, элементы ИТ-инфраструктуры на транспорте являются критически важными, они – КИИ, а вот аналогичные решения в модном магазине – нет. По понятным причинам: в случае сбоев или атак на компоненты КИИ могут произойти серьезные последствия для национальной безопасности, экономики и благополучия граждан. Поэтому защита КИИ и обеспечение ее устойчивости к различным угрозам, включая кибератаки, становится приоритетной задачей для государственных органов и операторов этих инфраструктур.
Новизна инициативы Минцифры по модификации закона в следующем: планируется предоставить Правительству РФ право классифицировать информационные системы (ИС) по отраслям в качестве значимых элементов КИИ, учитывая специфику каждой отрасли. Ранее определять, какие ИС относятся на предприятии к КИИ, а какие – нет, могли ответственные лица на местах.
Законопроект определяет рамки для перехода на ПО и оборудование российского производства для объектов КИИ, основываясь на готовности национальных продуктов. Этот процесс, а также соблюдение установленных сроков будут находиться под контролем соответствующих отраслевых структур.
Что это даст?
Законопроект направлен на решение проблемы произвольного определения значимости объектов КИИ их владельцами, которые зачастую ранее игнорировали требования классификации, сокращая перечень значимых объектов. Это делалось по разным причинам, но чаще всего играла роль банальная «неохота» руководителей заниматься пока еще не возникшей, «теоретической» проблемой. «Работает – не трогай. Я укажу свои ИС как критически важные, а мне прилетит задача по закупке отечественного ПО к ним. Кому нужны наши ИС, кому сдались наши серверы? Авось пронесет!»
Конечно, далеко не все вели себя именно так, существовали и объективные ограничения в виде отсутствия необходимых аналогов российского производства, а многие добросовестно выполняли весь комплекс необходимых задач и отчитывались.
Ответственность руководства предприятий наступала в случае возникновения проблем при наступлении инцидентов, влияющих на работу предприятия. Также она коррелировала с уровнем критичности объекта: чем он выше, тем потенциальных санкций больше. Для честного описания положения дел в плане КИИ на предприятии требовалась настоящая сила воли.
Сам факт предложенных изменений говорит, что такая практика, по всей видимости, не прижилась. А защита КИИ в современных условиях имеет более чем критическое значение для обеспечения стабильности ключевых сфер жизни общества — это и платежные системы и связь, транспорт и энергетика, ЖКХ и многие другие.
С холодной головой
Обновление закона, безусловно, позволит усилить защиту этих систем и способствовать развитию рынка отечественных ИТ-продуктов. Главное, чтобы новые правила и процессы на практике проходили без перегибов.
Поясню примером. Некоторое время назад государство ввело обязательное требование к госкомпаниям использовать СХД исключительно с процессорами «Эльбрус» российской разработки на борту. Однако общее количество выпускаемых процессоров было ограниченным, а СХД на них производили буквально «две с половиной компании» на всем рынке. Процессы развития ИТ-инфраструктуры в госсекторе просто встали, налицо оказалась оторванность требований регулятора от реалий жизни.
Второй важный момент – предлагаемые меры направлены на крупные компании с госучастием. А СМБ и частный сектор, как работали, так и будут работать, никаких перемен для них изменения порядка регулирования КИИ не привнесут, влияние на экономику в целом не такое значительное.
Третий аспект ситуации: просто так сегодня ничего не происходит. Видимо, сумма ИБ-инцидентов (заметных широкой публике или нет – другой вопрос) убедила, что отдавать такое направление и такой объем ответственности на на уровень самих предприятий больше нельзя. Санкции к ответственным лицам по факту происшествий как стимул к переменам больше не работают.
Когда усиливать защиту необходимо в срочном порядке и с...