ГосКИИ: полезные перемены в регулировании
Суть перемен
Напомним, что критическая информационная инфраструктура (КИИ) — совокупность информационных систем, сетей связи, информационно-телекоммуникационных систем, а также центров обработки данных, которые обеспечивают управление процессами жизнеобеспечения общества, экономики и государственного управления. Грубо говоря, элементы ИТ-инфраструктуры на транспорте являются критически важными, они – КИИ, а вот аналогичные решения в модном магазине – нет. По понятным причинам: в случае сбоев или атак на компоненты КИИ могут произойти серьезные последствия для национальной безопасности, экономики и благополучия граждан. Поэтому защита КИИ и обеспечение ее устойчивости к различным угрозам, включая кибератаки, становится приоритетной задачей для государственных органов и операторов этих инфраструктур.
Новизна инициативы Минцифры по модификации закона в следующем: планируется предоставить Правительству РФ право классифицировать информационные системы (ИС) по отраслям в качестве значимых элементов КИИ, учитывая специфику каждой отрасли. Ранее определять, какие ИС относятся на предприятии к КИИ, а какие – нет, могли ответственные лица на местах.
Законопроект определяет рамки для перехода на ПО и оборудование российского производства для объектов КИИ, основываясь на готовности национальных продуктов. Этот процесс, а также соблюдение установленных сроков будут находиться под контролем соответствующих отраслевых структур.
Что это даст?
Законопроект направлен на решение проблемы произвольного определения значимости объектов КИИ их владельцами, которые зачастую ранее игнорировали требования классификации, сокращая перечень значимых объектов. Это делалось по разным причинам, но чаще всего играла роль банальная «неохота» руководителей заниматься пока еще не возникшей, «теоретической» проблемой. «Работает – не трогай. Я укажу свои ИС как критически важные, а мне прилетит задача по закупке отечественного ПО к ним. Кому нужны наши ИС, кому сдались наши серверы? Авось пронесет!»
Конечно, далеко не все вели себя именно так, существовали и объективные ограничения в виде отсутствия необходимых аналогов российского производства, а многие добросовестно выполняли весь комплекс необходимых задач и отчитывались.
Ответственность руководства предприятий наступала в случае возникновения проблем при наступлении инцидентов, влияющих на работу предприятия. Также она коррелировала с уровнем критичности объекта: чем он выше, тем потенциальных санкций больше. Для честного описания положения дел в плане КИИ на предприятии требовалась настоящая сила воли.
Сам факт предложенных изменений говорит, что такая практика, по всей видимости, не прижилась. А защита КИИ в современных условиях имеет более чем критическое значение для обеспечения стабильности ключевых сфер жизни общества — это и платежные системы и связь, транспорт и энергетика, ЖКХ и многие другие.
С холодной головой
Обновление закона, безусловно, позволит усилить защиту этих систем и способствовать развитию рынка отечественных ИТ-продуктов. Главное, чтобы новые правила и процессы на практике проходили без перегибов.
Поясню примером. Некоторое время назад государство ввело обязательное требование к госкомпаниям использовать СХД исключительно с процессорами «Эльбрус» российской разработки на борту. Однако общее количество выпускаемых процессоров было ограниченным, а СХД на них производили буквально «две с половиной компании» на всем рынке. Процессы развития ИТ-инфраструктуры в госсекторе просто встали, налицо оказалась оторванность требований регулятора от реалий жизни.
Второй важный момент – предлагаемые меры направлены на крупные компании с госучастием. А СМБ и частный сектор, как работали, так и будут работать, никаких перемен для них изменения порядка регулирования КИИ не привнесут, влияние на экономику в целом не такое значительное.
Третий аспект ситуации: просто так сегодня ничего не происходит. Видимо, сумма ИБ-инцидентов (заметных широкой публике или нет – другой вопрос) убедила, что отдавать такое направление и такой объем ответственности на на уровень самих предприятий больше нельзя. Санкции к ответственным лицам по факту происшествий как стимул к переменам больше не работают.
Когда усиливать защиту необходимо в срочном порядке и с поправкой на военное время, государство вступает в игру по полной. Этот момент необходимо учитывать компаниям и относиться к нововведениям не как к репрессиям, а как к объективной необходимости. В конце концов, требования по КИИ долгое время были довольно либеральными.
Последствия: новый диалог о деньгах
Спрос на российские решения для обеспечения необходимого уровня защиты критичных ИС повысится – это само собой. Но цены на такие решения необязательно должны вырасти, как об этом уже, не разобравшись в ситуации, спешат заявить некоторые «провидцы».
Всплеск цен был после старта СВО, но он сошел на нет по мере того, как рынок стабилизировался. Сейчас ситуация в целом спокойная, дальше моментальных и точечных спекуляций дело не пойдет. Плюс в нашем ИТ-секторе совсем недавно отменили мораторий на антимонопольные проверки. Напомню: временно приостанавливались они, а также налоговые проверки в качестве стимулирующей отрасль меры. Увы, по причине того, что некоторые игроки на ИТ-рынке стали этим злоупотреблять, одной поблажкой теперь меньше.
Поэтому неадекватного задирания цен не произойдет. Скорее наоборот, у вендоров появится стимул больше производить и увеличивать свою выручку объемом, а не привлекать к себе ненужного скандального внимания ценовыми эксцессами.
Ситуация также представляет собой хороший момент для инвесторов в ИТ-секторе, чтобы вложиться в разработчиков – например, в расширение штата и обучение, а также в другие формы стимулирования.
Наконец, вернемся к нашим добросовестным ИТ-руководителям, которые привыкли выполнять требования регулятора, в том числе по части КИИ. Для них ситуация является отличным поводом начать диалог с государством относительно выделения фондов. Когда им придет письмо с требованием обеспечить соответствие положениям закона, а ИТ-бюджет будет уже утвержден и, скорее всего, даже потрачен, появится выступить с ответным обращением к профильному ведомству. Можно будет изложить ситуацию на конкретном предприятии и привлечь к ее решению государство, в том числе путем выделения необходимых ресурсов в рамках специальной программы.
Опубликовано 24.04.2024