AppsecZone

Работа с критической информационной инфраструктурой (КИИ) в 2022 году, основные изменения.

Работа с критической информационной инфраструктурой (КИИ) в 2022 году, основные изменения. Работа с критической информационной инфраструктурой (КИИ) в 2022 году, основные изменения. Работа с критической информационной инфраструктурой (КИИ) в 2022 году, основные изменения.
28.06.2022

В конце марта в силу вступил указ президента «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». Этот документ наложил ряд ограничений на работу с иностранным программным обеспечением. Цель указа – обеспечить защиту критической инфраструктуры РФ в условиях обострившегося геополитического кризиса.

Что такое критическая инфраструктура

Критическая информационная инфраструктура – это совокупность информационных и телекоммуникационных систем, а также сетей электросвязи, которые используются для их взаимодействия. Они имеют приоритетное значение для функционирования ключевых сфер жизнедеятельности государства и общества.

К ним принято относить:

  • финансы;
  • транспорт;
  • ВПК;
  • энергетику;
  • топливную промышленность;
  • здравоохранение;
  • и ряд других сфер.

ИС, базы данных и линейно-кабельные сооружения ПАО «Ростелеком» – это простой пример критической информационной инфраструктуры.

Информационные системы государственных органов – это критическая инфраструктура РФ федерального уровня. Сюда также можно отнести сервис Госуслуги и базы данных МФЦ.

Их повреждение в ходе хакерских атак может иметь множественные негативные последствия как для государства, так и для общества. Поэтому к ним выдвигаются повышенные требования безопасности.

Компании, которые работают в приоритетных сферах, проходят через процедуру оценки инфраструктуры на предмет ее значимости. По результатам оценки система может быть признана не критически важной, либо ей будет присвоена одна из трех степеней важности.

Евгений Карпов
Менеджер по развитию vStack, компания ITGLOBAL.COM

На данный момент в реестре отечественного ПО зарегистрировано почти 13 тысяч объектов. Среди них множество достойных, способных напрямую конкурировать с продуктами зарубежных поставщиков. Это, например, решения по информационной безопасности, по управлению документооборотом и финансовыми системами. Тем не менее, во многих сферах найти подходящий по параметрам продукт гораздо труднее, например, среди решений виртуализации, инструментов для резервного копирования и служб каталогов (Active Directory).

Надзор и регулирование работы с критической информационной инфраструктурой осуществляет ФСТЭК – Федеральная служба по техническому и экспортному контролю.

Вторым обязательным для объектов КИИ органом является ГосСОПКА – Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Что изменилось в работе с КИИ

Виктор Гулевич
Генеральный директор компании «БСС-Безопасность»

Задача по переходу на отечественное ПО не просто сложна в разрезе сроков, но и с точки зрения финансов, поскольку бОльшинство компаний относились скептически к бюджетированию данной активности. Для компаний, которые все же обеспокоилось этим заранее, переход менее чем за 3 года вполне реален, а компаниям, которые имеют крупную распределённую инфраструктуру (даже с учётом планирования) будет нелегко.

Указ президента от 31-го марта внес несколько изменений в существующий регламент:

  1. Государственным органам предписано полностью отказаться от иностранного программного ПО к началу 2025 года.
  2. Компаниям, которые работают с критической информационной структурой, запрещено покупать иностранное программное обеспечение.

Рустэм Хайретдинов
Директор по росту BI.ZONE

Уже сейчас невозможно полноценно пользоваться иностранным софтом. Отказ от него — вопрос не выбора, а оперативности: насколько быстро каждая компания сможет его заменить. Главная задача каждой организации — произвести замену, сохранив всю имеющуюся функциональность. Или же компаниям придется пока отказаться от каких-то функций в продуктах и сервисах.

В случаях, когда заменить иностранное ПО невозможно, на его покупку нужно получить специальное разрешение от государства.

Такое ограничение введено по двум причинам:

  • утрата доверия к иностранным цифровым продуктам со стороны государства;
  • поддержка курса на достижение цифровой независимости в жизненно важных отраслях.

Указ не вносит изменений в процедуру и основной для работы с критической информационной инфраструктурой (КИИ) нормативный акт – ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Можно ли использовать софт со свободной лицензией

Павел Коростелев
Руководитель отдела продвижения продуктов в «Код Безопасности»

Это практически невероятная история, в любом случае останутся ниши, где в том или ином виде будет использоваться иностранный софт.
Другое дело, что из критических мест за последующие два с половиной года «изгнать» его вполне реально, и это, к слову, сильно поможет развитию экономики. Если говорить о полном замещении иностранного ПО, то более вероятен горизонт в десять лет.

На момент написания статьи ни одно ведомство не опубликовало разъяснений к президентскому указу. Поэтому на данный момент нет однозначного мнения относительно того, можно ли использовать свободный софт без разрешения государства сейчас и будет ли разрешено его использование после 2025 года.

Евгений Гуляев
Ведущий консультант по ИБ компании R-Vision

На мой взгляд, программное обеспечение со свободной лицензией сможет избежать ограничений только в случае наличия отечественной команды разработчиков, которая самостоятельно будет поддерживать и развивать то или иное решение с открытым исходным кодом. Такой подход позволит добиться размещения решения в реестре отечественного программного обеспечения, что будет являться важным фактором для возможности использования таких решений на объектах КИИ.

Некоторые компании уже нашли компромиссное решение. Например, Сбер, Газпром, РСХБ-страхование и ряд других крупных компаний перешли с открытого PostgreSQL на российский адаптированный продукт Postgres Pro. В данном случае адаптация – это не только доработка, но и фактическая «русификация» софта с целью привести ПО компании в соответствие с указом президента. Такое решение органично вписывается в доктрину параллельного импорта.

Алексей Воробьёв
Сооснователь и технический директор сервиса облачной автоматизации бизнеса Альтап

В ближайшее время появится ещё больше российских форков или даже откровенных клонов самого распространённого софта со свободной лицензией. Это самое быстрое решение, как сейчас можно формально исполнить новые требования закона.

Полное или частичное заимствование уже существующего софта позволит сократить сроки реализации проекта и заменить максимально возможное число иностранных цифровых продуктов к началу 2025 года.

Стал ли указ причиной принципиальных изменений

Если посмотреть на событийный ряд, в рамках которого принималось решение о запрете использования иностранного софта в работе объектов КИИ, то ответ становится неоднозначным.

Даже если отменить действующие ограничения, легально приобрести ПО для аффилированной с государством компании практически невозможно по нескольким причинам:

  • сложности с внешнеэкономическими торговыми операциями и банковскими переводами;
  • отказ европейских и американских компаний работать с российскими из-за санкций;
  • неготовность азиатских компаний работать с российскими из-за риска вторичных санкций.

В таких условиях указ президента имеет скорее декларирующий характер, формулирует приоритетное направление на создание своих цифровых и технологических решений. Задает курс на цифровую независимость.

Алексей Хмельницкий
Генеральный директор компании RooX

Если свободные лицензии попадут под ограничения, то вся отрасль может быть отброшена назад на 10-15 лет назад. Разработка ПО в целом – это «логистическая цепочка» труда разных людей, ИТ-индустрия развивается на совокупности усилий разных разработчиков.

Как это скажется на повседневной жизни

Полностью заменить все иностранные элементы в объектах КИИ за неполных три года – это сложная задача. Речь идет не только о цифровых продуктах, но и о технических ресурсах, ряд из которых в России на сегодняшний день не производятся.

Валерий Купрюшин
Руководитель отдела внедрения RuSIEM

Большую роль здесь играют гранты. Например, те, что распределяет Российский фонд развития информационных технологий. В этом году фонд увеличил максимальную сумму гранта с 300 до 500 миллионов рублей, а по спецпроектам – до 6 млрд рублей.

Например, по информации газеты «Коммерсантъ» приостановлен проект производства процессоров Baikal-S, поскольку тайваньские компании отказались поставлять комплектующие. Проблемы возникли и у сотовых операторов после остановки поставок сетевого оборудования от компании Nokia, о которой сообщил РБК.

Григорий Сизоненко
Генеральный директор компании ИВК

Сегодня доля отечественного инженерного ПО составляет примерно 30% российского рынка. Некоторое импортное медицинское оборудование, которое используется в российских клиниках, работает только на ОС Windows.
Импортные ERP-системы прочно «вросли» в деловые процессы крупных российских холдингов ТЭК и металлургии, их замена требует очень большой и кропотливой работы.

Наиболее возможный и безопасный для бизнеса сценарий – это продление сроков перехода на отечественные технологии, использование параллельного импорта и переработка готовых иностранных цифровых продуктов под специфику работы российских компаний.

Сергей Стрелков
Руководитель разработки BIM Группы компаний Bimeister

На мой взгляд, наибольшие затруднения будут в узких специализированных отраслях, где часто всего один поставщик решения, который поставляет и железо, и ПО.
Протоколы общения с устройствами часто просто закрыты, придется проводить реверс инжиниринг и тщательно все тестировать. В медицине, в критической инфраструктуре, банковской сфере цена ошибки очень велика, поэтому и затраты будут самые большие.


Комментарии 0