Прошедший год укрепил ранее обозначившийся тренд – внимание регулятора к операторам связи только усилилось. Как бы они сами не относились к вопросам информационной безопасности, для государства это критически важный аспект. Избежать взаимодействия с ФСТЭК или ФСБ не получится.
Вопросы КИИ широко обсуждались на Pay TV Форуме в августе 2024 года. В рамках секции "КИИ – категорирование объектов инфраструктуры" с представителями отрасли встретился врио директора Департамента обеспечения кибербезопасности Минцифры Евгений Хасин. Он подробно остановился на деятельности ведомства, связанной с КИИ, ответил на вопросы операторов.
Как продвигается переход на российское ПО, где искать сотрудников и чего ждать отрасли в 2025 году – разбирался "Кабельщик".
Трудности перехода
История регулирования КИИ в телеком-индустрии началась задолго до переломного 2022 года. Базовый нормативный акт № 187-ФЗ появился еще в 2017 году (федеральный закон № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" от 26 июля 2017 года). 1 января 2025-го стало для КИИ своего рода "контрольной точкой" – госорганам теперь запрещено использовать иностранное программное обеспечение на объектах КИИ.
Для телеком-отрасли "контрольная точка" – 1 января 2030 года. Это срок, к которому постановление правительства № 1912 от 14.11.2023 обязывает перевести значимые объекты критической информационной инфраструктуры (ЗО КИИ) на доверенные (российские) программно-аппаратные комплексы (ПАК). Планы перехода на доверенные ПАКи компании должны были передать в Федеральную службу по техническому и экспортному контролю до конца 2024 года.
Переход, как отмечают многие эксперты, кажется сложным, но вполне реализуемым и зависит от ряда условий. Это, прежде всего, поддержка государства, инвестиции в отечественные технологии, готовность рынка адаптироваться к новым требованиям. Сейчас силы отрасли направлены и на использование готовых рыночных решений (компании внедряют внешние решения, если они соответствуют их запросам), и на разработку собственных продуктов. Ассоциация компаний связи в своем прогнозе оптимистична:
"За последние годы российский рынок пополнился хорошей технологической базой отечественного программного обеспечения, которая позволяет выполнить требования регулятора без прерывания бизнес-процессов и потери эффективности. Основные системы большинства операторов связи включают иностранные продукты управления базами данных, серверы и системы виртуализации, которые, по мнению Ассоциации, нужно заменить на отечественные. Российские производители уже готовы предложить варианты для замещения значительной части значимых систем критической инфраструктуры операторов связи, но при замене иностранных решений важно сохранять непрерывность бизнес-процессов, повышать их эффективность и безопасность", – рассказал президент АКС Алексей Стуров.
Отечественные производители, среди которых Yadro, «Аквариус», Depo Computers, наращивают выпуск новых компонентов, ведущие вендоры адаптировали свои продукты и запускают разработки на их платформах. В конце прошлого года "Росатом" сообщил о планах приобрести 50% доли компании "Файбертрейд" (бренд Future Technologies), которая является производителем телеком-оборудования. На базе бывшего завода Samsung в Калуге запустили производство серверов. СМИ писали о старте сборки под брендом российского производителя электроники "Гравитон". На собственных производственных площадках он ежегодно производит по 20 тысяч серверов. Мощностей калужского предприятия, по некоторым оценкам, хватит на полмиллиона единиц продукции в год. Основными покупателями могут стать коммерческие компании и госорганизации – субъекты КИИ.
Кадры решают все
Ситуация с КИИ четко обозначила в отрасли дефицит высококвалифицированных кадров. Впрочем, эта проблема присутствует во многих областях. В Указе Президента РФ № 250 от 01.05.2022 и Постановлении Правительства 1272 от 15.07.2022 прописаны типовые требования к ответственному за информационную безопасность. Они распространяются и на объекты КИИ. Минцифры пересматривает нормы обучения экспертов в сфере кибербезопасности, университеты открывают новые курсы, компании запускают обучение "белых хакеров". Разработаны учебные программы на 512 часов по переподготовке специалистов по информационной безопасности. Их может пройти любой человек с техническим образованием. Особое внимание на этих курсах уделяется правовым вопросам. У "Яндекса" налажено партнерство почти с тремя десятками вузов. Российский разработчик решений корпоративного обучения iSpring, основанный в Йошкар-Оле, готов инвестировать 10 млрд рублей в развитие частного ИT-вуза в своем городе. И это, как минимум, позволит со временем решить кадровые задачи компании. Президент ассоциации "Ростелесеть" Олег Грищенко считает, что оптимальным подходом стало бы обучение собственных сотрудников. Это, правда, рискованно для малых городов, где наблюдается дефицит кадров с высшим образованием. Вкладываясь в их обучение, компании рискуют в итоге спровоцировать отток персонала в областной центр, где и условия, и зарплата лучше:
"Мы сейчас думаем, как в кооперации выращивать специалистов необходимой квалификации, так, чтобы они работали по совместительству сразу в группе компаний. Это позволит поддерживать необходимый уровень зарплаты, распределять нагрузку и обеспечить эффективную защиту сети и требования регулятора. Но нужно помнить, что данный специалист берет на себя уголовную ответственность, то есть формальным подходом не отделаться и погружаться в ситуацию необходимо на 100%. Важно повышать информированность всех работников компании в области информационной безопасности. Как показывает анализ компьютерных инцидентов, произошедших в прошлом году, основным источником возможности реализации компьютерной атаки становятся люди", – говорит Олег Грищенко.
Категории ответственности
Категория – главный показатель объектов КИИ. Именно она определяет комплекс необходимых мер их защиты. Всего может быть три категории – первая, вторая и третья (в порядке убывания значимости). Специальная комиссия оценивает ряд факторов, формирует перечень объектов КИИ, подлежащих категорированию, и направляет его в ФСТЭК. Не стоит упускать из виду, что нарушение порядка категорирования объектов КИИ чревато административным штрафом – для юрлиц это от 50 до 100 тысяч рублей.
С категорированием систем в телеком-отрасли ситуация постепенно выравнивается, отмечают эксперты. И все больше операторов под воздействием регулятора это категорирование проводят. Но стоит поторопиться. Теперь на эту процедуру уже не дается один год. Определить объекты и их категорию значимости нужно будет в срок, указанный в запросе, как правило это 10-30 дней.
"Операторы, которые до сих пор не определились с объектами КИИ и не направили сведения во ФСТЭК, вероятнее всего, вынуждены будут сделать это под давлением регулятора. Мы наблюдаем в разных регионах активность со стороны прокуратуры, которая рассылает запросы на предоставление пакета документов и подтверждение наличия специалиста по 250-му Указу Президента", – говорит Олег Грищенко.
На пользу пошла разъяснительная работа Минцифры и ФСТЭК, а также появление Перечня типовых объектов КИИ в отрасли. Но по-прежнему задача определения категорируемых ИС, ИТКС и АУС – один из сложных вопросов, от которого зависят последующие шаги. Категорирование объекта КИИ влечет за собой и необходимость выполнять соответствующие требования безопасности, будь то опечатка шкафа или парольная политика.
Ряд экспертов полагают, что все информационные системы операторов связи автоматически признаются объектами КИИ. И к ним предъявляются повышенные требования безопасности. Такую точку зрения не разделяют в Ассоциации компаний связи. "Операторы связи должны самостоятельно проводить процедуру категорирования всех своих систем и те, которым будет присвоена категория, становятся значимыми, и именно их касается государственное регулирование", – считает Алексей Стуров.
"Сети связи с количеством абонентов до 3000 относятся к некатегорированным объектам КИИ", – обращает внимание Алексей Стуров. А вся "большая четверка" – это первая категория.
Недавно Минцифры опубликовало новый проект постановления, касающийся особенностей категорирования объектов критической информационной инфраструктуры (КИИ) в области связи. Предлагаемый проект Минцифры вводит четкие критерии для определения значимости объектов, а также описывает отраслевые характеристики и методику расчета соответствующих показателей. В частности, категория значимости будет определяться на основании таких факторов, как количество абонентов, последствия кибератак, включая возможные сбои в работе и финансовые потери, которые могут возникнуть как для самой организации, так и для государственного бюджета из-за снижения налоговых поступлений.
Те операторы, которые уже прокатегорировали объекты КИИ, перешли к формированию пакета ОРД (организационно-распорядительной документации), а также приступили к созданию системы безопасности. Это новый этап, требующий переосмысления подходов к бизнес-процессам в компании. Не дожидаясь запросов регулятора, многие операторы связи предпринимали действия по обеспечению безопасности средств и сетей связи. Но теперь, с точки зрения законодательства, эти действия нужно привести к стандартам, регламентировать, определить ответственных и обеспечить информационную защиту.
Что ждет КИИ в 2025 году
Необходимость решать вопросы КИИ у операторов связи по-прежнему остается первостепенной. Любые атаки происходят в основном на инфраструктуру или через инфраструктуру операторов связи. И это при том, что они к подобным угрозам подготовлены как никто другой, прошли действительно большую школу отражения DDoS-атак на свои сети.
В следующем году часть операторов ждет плановая проверка ФСТЭК. Хочется верить, что отрасль не накроет новая волна недопонимания.
"Постепенно нарабатывается опыт по внедрению средств защиты, оценка возможности перехода на другие операционные системы, антивирусную защиту, применение защиты от несанкционированного доступа, обнаружение вторжения, применение межсетевых экранов, защита каналов связи и среды виртуализации. Важно понимать, что у операторов должен систематически использоваться сканер уязвимости, при проверке будут требовать результаты сканирования сети за последние три года. Ну и ФСТЭК придет со своим сканером и проведет сканирование внутреннего и внешнего периметра.
Важно понимать, что быстро, наскоком, все требования регулятора сложно решить, ну и важно осознавать, что вы часть критической информационной инфраструктуры страны, поэтому обучайте персонал, совершенствуйте бизнес-процессы, формируйте регламенты, инструкции, назначайте ответственных и конечно внедряйте средства защиты. А мы поможем советом, подскажем, как лучше пройти этот путь", – говорит Олег Грищенко.
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии
