Разрабатывается перечень объектов КИИ и сроки их перехода на отечественные решения

18.05.2023 16:20

Это будет определять соответствующий законопроект, работа над которым уже ведется, сообщают "Ведомости" со ссылкой на источники в правительстве и ИТ-компании. Предполагается, что документ будет внесен в Госдуму в ближайшее время.

Согласно президентскому указу, подписанному 20 марта 2022 года, госорганам и госкомпаниям с 1 января 2025 года будет запрещено использовать иностранный софт на объектах критической информационной инфраструктуры (КИИ). Субъектами КИИ являются госорганы и организации, относящиеся к связи, банковской сфере, энергетике, науке, транспорту, топливо-энергетическому комплексу и владеющие объектами критической инфраструктуры. При этом на данный момент субъекты сами определяют, какие объекты относятся к КИИ.

В связи с тем, что значимые объекты КИИ должны обслуживаться согласно жестким техническим и организационным требованиям по информационной безопасности, часть операторов информационных систем (ИС) намеренно занижают категорию "значимости", чтобы не брать на себя дополнительную ответственность.

Так, например, не всегда к объектам КИИ относят точки обмена трафиком, ЦОДы, пограничные кабельные переходы и магистральные сети связи, сообщает глава "Комфортела" Дмитрий Петров.

Чаще всего занижают уровень критичности в сегменте малых и средних предприятий, чтобы сэкономить на затратах на обеспечение безопасности и оптимизировать подход к выплате налогов, полагает источник издания в ИТ-компании.

Для того чтобы минимизировать риски, было принято решение о том, что определять, что относится к КИИ, будет правительство, и главным критерием будут потенциальный вред возможных инцидентов. Таким образом, руководство компании будет вынуждено выполнять ряд требований по защите КИИ ко всем объектам, сбой работы которых может привести к серьезным последствиям.  

При этом эксперты полагают, что владельцы объектов КИИ не смогут перейти на отечественный софт в установленный срок. Более того, требование об обязательном переходе на отечественные решения до конца 2024 года может привести к более серьезным последствиям – из-за спешки и внедрения непроверенных программ критически важная структура может отказать. Было бы безопаснее изменить требования и предоставить отсрочки для различных видов софта.

Сроки перехода на отечественный софт зависят от областей применения КИИ. Так, промышленные КИИ, которые применяются для обеспечения производственного процесса на заводах и предприятиях, могут успеть перейти на российский софт к декабрю 2025 года. Для сервисных КИИ, например, информационных систем банков и госорганов, потребуется больше времени, так как задействованные при этом ИС интегрированы со множеством других информационных систем, и необходимо будет заменять весь связанный ИТ-ландшафт.

Впрочем, другие эксперты полагают, что на компании нужно давить, иначе переход на отечественные решения не состоится и к 2035 году. Наступление ответственности как самой организации, так и руководителей за невыполнение требований, может ускорить переход на российский софт в КИИ.

Генеральный директор "ОрдерКом" Дмитрий Галушко считает, что в результате внедрения подобных нововведений увеличится стоимость входа в телеком-бизнес, а также возрастут другие бюрократические расходы. На данный момент многие объекты малых операторов не отнесены к категорированным КИИ, и если их отнесут к КИИ, компаниям придется платить "за бумажки", а не вкладывать деньги в развитие сети. Что касается перехода на отечественный софт, то на данный момент это требование касается только госорганов и госкомпаний.