10 марта 2024

Правительство и ЦБ определят жесткий порядок перехода на отечественный софт

Минцифры подготовило законопроект, согласно которому правительство и ЦБ смогут определять перечень объектов критической информационной инфраструктуры (КИИ) – объектов, которые по указу президента России от 30 марта 2022 г. должны будут с 2025 г. обязательно перейти на отечественный софт. Об этом рассказали источники «Ведомостей» в телекомоператоре и профильной ассоциации. Обсуждение этой инициативы подтвердил собеседник в правительстве, а подлинность документа – собеседник в компании-интеграторе.

«Ведомости» ознакомились с текстом законопроекта. Предложенная инициатива предусматривает внесение изменений в закон «О безопасности КИИ», а текущая версия документа согласована ФСТЭК, ФСБ и Минфином. Также к документу прикреплен положительный отзыв ЦБ.

 

О том, что Минцифры работает над правилами о порядке и сроках перевода объектов КИИ на отечественные IТ-решения, «Ведомости» писали в мае 2023 г. Законопроект в текущей редакции рассматривался на заседании правительственной комиссии по законопроектной деятельности 12 февраля, поясняет источник в телекомоператоре.

Как устроен новый порядок

Речь идет об отдельных системах или объектах в компаниях (субъектах КИИ), к которым относятся государственные ведомства и организации из областей здравоохранения, науки, транспорта, связи, банковской сферы, ТЭКа, перечисляет старший аналитик по информационной безопасности «Лиги цифровой экономики» Елена Камышная. Сегодня субъекты КИИ могут сами категоризировать значимость своих объектов и, например, не относить их к КИИ, объясняет эксперт.

Сейчас рассматривается уже третья редакция закона, которая предполагает более жесткую нормативную базу, ясные требования и невозможность их обойти, отмечает генеральный директор инженерной компании «Уралэнерготел» (выполняет работы по проектированию и внедрению КИИ) Алексей Бельский.

Ключевые изменения касаются категорирования объектов КИИ. Так, госорганы и ЦБ должны по согласованию с ФСТЭК сформировать перечни типовых отраслевых объектов КИИ, включающих в себя типы информационных систем и выполняемых ими функций и видов деятельности. Если субъекты КИИ предоставят недостоверные или неполные сведения об объектах, то ФСТЭК в течение 30 дней может направить организациям требования об устранении нарушений. Организация же в течение 10 дней должна исправить недоработки, на которые обратил внимание регулятор.

Штрафы за неисполнение требований регулятора или неисправление нарушений в документе не прописаны.

Согласно законопроекту, помимо формирования перечня типовых объектов КИИ правительство должно будет установить порядок закупок и использования телекомоборудования и программно-аппаратных комплексов (ПАК) иностранного происхождения. Также Минцифры предлагает наделить правительство и ЦБ полномочиями устанавливать порядок и сроки перехода финансовых организаций – субъектов КИИ на «преимущественное использование российского ПО и отечественной радиоэлектронной продукции, в том числе телекомоборудования и ПАК, на принадлежащих им значимых объектах КИИ».

После внесения изменений в закон могут быть дополнительно приняты подзаконные акты, говорится в документе. В частности, в течение полугода после вступления в действие закона должны быть закреплены в форме постановлений правительства требования к ПО, радиоэлектронной продукции, используемых на значимых объектах КИИ. Также в указанный период будут установлены сроки, порядок перехода и мониторинга субъектов КИИ.

Категории занижаются

Рынок импортозамещения ПО для объектов КИИ в 2022 г. составлял примерно 200 млрд руб., оценивал замруководителя направления «Безопасная информационная инфраструктура» АНО «Цифровая экономика» Максим Чернов. По его словам, общее число субъектов КИИ достигало 50 000.

Инициатива Минцифры является логическим продолжением рекомендаций по формированию отраслевыми регуляторами типовых отраслевых объектов КИИ, уже принятых правительством в 2018 г., рассуждает директор по взаимодействию с органами государственной власти Postgres Professional Михаил Хазов. Такие типовые перечни уже приняты в ряде отраслей и служат ориентиром для организаций при планировании работ по категорированию объектов КИИ, но не являются обязательными, отмечает эксперт. Если раньше следование перечням при категорировании носило понятийно-рекомендательный характер, то с помощью законопроекта их сделают обязательными, соглашается заместитель директора департамента информационной безопасности Step Logic Денис Пащенко.

Сейчас проблема заключается в том, что субъекты КИИ во многих случаях намеренно занижают категории значимости своих объектов, именно этим можно объяснить намерение Минцифры доверить профильным ведомствам функцию категорировать объекты, полагает архитектор IT-инфраструктуры практики «Стратегия трансформации» компании «Рексофт консалтинг» Александр Черный. Присвоение категории КИИ объекту обязывает предприятие выполнить перечень мероприятий по локализации объекта и его защите, что чаще всего сложно, дорого и не всегда выполнимо, например в случае отсутствия отечественных решений, объясняет эксперт.

Проблема правильного отнесения объектов КИИ к значимым существует давно: многие субъекты КИИ необъективно выделяли и объединяли объекты для снижения категории значимости, согласна ведущий консультант по информационной безопасности Innostage Татьяна Никонорова.

«К примеру, система управления багажом внутри аэропорта не относится к КИИ, при этом мы понимаем, что, когда эта система перестанет работать, произойдет коллапс, что вызовет недовольство пассажиров, – объясняет источник в правительстве. – Сейчас собственник рассуждает так: придать объекту статус КИИ – это взять на себя дополнительную ответственность, поэтому пусть лучше объект не имеет такого статуса».

КИИ потребует средств

Важно, чтобы разработанные типовые перечни помогали банкам верно категорировать объекты КИИ, снижали бы количество спорных ситуаций, сделали процесс категорирования более удобным, понятным и прозрачным, подчеркивает вице-президент Ассоциации банков России Алексей Войлуков. В частности, есть надежда на то, что даже в условиях импортозамещения у финансовых организаций «в безысходных ситуациях будет возможность закупать иностранное ПО или оборудование или временно использовать имеющееся, когда речь идет об операционной надежности или бесперебойности работы банка».

Реализация требований к КИИ предполагает формирование программы проектов, многие из которых требуют значительного финансирования и сроков реализации, измеряемых месяцами, если не годами, обращает внимание партнер, лидер практики технологического консультирования компании ДРТ (бывш. Deloitte в России) Тимофей Хорошев. Соответственно, чем позже объект будет идентифицирован как объект КИИ, тем позже предприятие сможет реализовать требования закона в отношении данного объекта, говорит он. К примеру, процесс миграции промышленного ПО, работающего с высоконагруженной системой управления базой данных (СУБД), может потребовать до года, а в сложных случаях – и до двух лет, поэтому организации должны задуматься о переходе заблаговременно, отмечает Хазов.

На первый взгляд положительная инициатива может быть воспринята рынком негативно, говорит коммерческий директор РДТЕХ Светлана Иванова, поясняя, что попытка бюрократизировать процесс может привести к его затягиванию. Намного важнее и эффективнее было бы экономическое стимулирование владельцев КИИ и разработчиков к ускоренному созданию и внедрению замещающих инфраструктурных решений, резюмировала она.

«Ведомости» направили запросы в Минцифры, ФСТЭК и ЦБ.

Источник: "Ведомости"

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар iTrend «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

19 апреля 2024

23 апреля в 15:00 пройдет открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов». Организаторы — коммуникационное агентство iTrend, ассоциация РУССОФТ и консалтинговая группа BITOBE.

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 

iTrend: интерес деловых СМИ к ИТ вырос в 6 раз за последние пять лет

20 марта 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали, как менялся медиаландшафт в ИТ-индустрии в последние пять лет. В компании сравнили количество упоминаний крупнейших российских разработчиков и системных интеграторов в деловых СМИ и пришли к выводу, что об ИТ-компаниях стали писать в 6 раз чаще.

 
Все новости iTrend