2023/11/17 18:08:03

Критическая информационная инфраструктура России

Критическая информационная инфраструктура (КИИ) — совокупность информационных систем и телекоммуникационных сетей, критически важных для работы ключевых сфер жизнедеятельности государства и общества: здравоохранения, промышленности, связи, транспорта, энергетики, финансового сектора и городского хозяйства. В данной статье рассматриваются регуляторные и практические аспекты, связанные с КИИ в России.

Содержание

Под критической информационной инфраструктурой РФ (КИИ) подразумевается совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов РФ и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также ИТ-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.

Безопасность критической информационной инфраструктуры

Основная статья: Безопасность критической информационной инфраструктуры РФ

Уголовные дела о неправомерном воздействии на КИИ РФ

Основная статья: Уголовные дела о неправомерном воздействии на критическую информационную инфраструктуру РФ

Критическая инфраструктура в здравоохранении

Основная статья: Критическая инфраструктура в здравоохранении

Система ГосСОПКА

Основная статья: Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)

Требуется обеспечить

2023

Мишустин обязал ключевые субъекты КИИ использовать только отечественные ИТ-решения и поручил ведомствам разработать планы перехода

Премьер-министр Михаил Мишустин подписал постановление о переходе субъектов критической информационной инфраструктуры (КИИ) на российские ИТ-решения. Об этом стало известно в середине ноября 2023 года.

Как сообщает ТАСС со ссылкой на подписанное главой кабмина постановление, переход госорганов и ключевых предприятий РФ на отечественные софт и оборудование будет проходить с 1 сентября 2024 года до 1 января 2030-го. Отраслевые планы перехода субъектов критической инфраструктуры на доверенные программно-аппаратные комплексы должны быть утверждены до 1 сентября 2024 года. Эта работа поручена Минпромторгу, Минздраву, Минобрнауки, Минтрансу, Минцифры, Минэнерго, Минфину, Росреестру, Банку России, Росатому и Роскосмосу.

Михаил Мишустин подписал постановление о переходе субъектов КИИ на российские ИТ-решения

Предполагается, что планы перехода на доверенное оборудование и ПО организаций, которым непосредственно принадлежат значимые объекты критической информационной инфраструктуры, будут утверждены до 1 января 2025 года.

«Доверенный программно-аппаратный комплекс» определяется в документе как «программно-аппаратный комплекс, который соответствует одновременно всем критериям признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами, указанным в приложении» (сведения о программно-аппаратном комплексе содержатся в едином реестре российской радиоэлектронной продукции, программное обеспечение соответствует требованиям для использования органами государственной власти и т.д.).Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 11.8 т

Согласно проекту постановления правительства, разработанному Минпромторгом, переход на отечественные ПАК направлен «на обеспечение технологической независимости и безопасности критической информационной инфраструктуры РФ в рамках исполнения указа президента „О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации`».[1]

Минцифры РФ включит локализацию производства оборудования в оценку независимости КИИ

9 октября 2023 года стало известно о том, что Минцифры РФ намерено расширить перечень критериев оценки технологической независимости критической информационной инфраструктуры (КИИ). В список будет включено требование о локализации производства оборудования.

С 1 января 2025 года в соответствии с закрепленными на законодательном уровне нормами на значимых объектах КИИ запрещено использовать иностранное программное обеспечение. Кроме того, госорганы и организации не смогут применять средства защиты информации, происходящие из недружественных стран. Эти правила призваны обеспечить безопасность российской КИИ в условиях сложившейся геополитической обстановки, спровоцировавшей рост интенсивности кибератак.

Минцифры намерено расширить перечень критериев оценки технологической независимости критической информационной инфраструктуры

Однако в принятых документах не предусмотрен принцип локализации разработки и производства аппаратных решений. В этой связи премьер-министр Михаил Мишустин в июне 2023 года поручил Минцифры «проработать вопрос формирования системы оценки уровня соответствия КИИ требованиям по технологической независимости». По итогам проделанной работы ведомство предложило подход, основанный на анализе наличия отечественных разработок, производственных линий высокотехнологичной продукции, необходимых кадровых ресурсов, научных и технологических заделов у владельцев КИИ.

Новая система оценки позволит понять, насколько владельцы объектов КИИ готовы к переходу на отечественное ПО и аппаратное обеспечение, а также к их разработке и внедрению в производство к 2025 году. Отмечается, что наработки Минцифры лягут в основу системы показателей технологического суверенитета, о которой сказано в Концепции технологического развития до 2030-го. В соответствии с этим документом, Россия «должна обладать собственной научной, кадровой и технологической базой критических и сквозных технологий». Речь идет об организации производства высокотехнологичной продукции, такой как микроэлектроника, современные станки, робототехника, авиакосмическая техника, беспилотники, медицинское и телекоммуникационное оборудование.[2]

Путин отнес владельцев ИКТ-систем в сфере регистрации недвижимости к субъектам КИИ

Президент России Владимир Путин подписал закон о расширении перечня субъектов критической информационной инфраструктуры (КИИ), дополнив его ИКТ-системами в сфере государственной регистрации недвижимости. Соответствующий документ опубликован на официальном портале правовой информации 10 июля 2023 года.

Изменения вносятся в закон «О безопасности критической информационной инфраструктуры Российской Федерации». По новым правилам, к субъектам критической информационной инфраструктуры добавлены госорганы, госучреждения, юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или на ином основании принадлежат информационные системы, функционирующие в сфере государственной регистрации прав на недвижимое имущество и сделок с ним.

Владимир Путин

Как пояснил член комитета Совета Федерации по конституционному законодательству и государственному строительству Александр Вайнберг, закон позволит «реализовать комплекс мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак, проводимых в отношении объектов указанной сферы».

Ранее к субъектам КИИ относились государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Федеральный Закон

Минцифры подготовило закон о критичной информационной инфраструктуре

18 мая 2023 года стало известно о том, что Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры) прорабатывает новый законопроект, касающийся критической информационной инфраструктуры (КИИ) страны.

В марте 2022 года президент России Владимир Путин подписал указ, запрещающий госорганам и госкомпаниям использовать иностранное программное обеспечение на объектах КИИ. Такие структуры обязаны перейти на отечественные разработки с 1 января 2025-го. Старший аналитик по информационной безопасности Лиги цифровой экономики Елена Камышная, по сообщению газеты «Ведомости», уточнила, что к субъектам КИИ относятся государственные органы и организации, оперирующие соответствующими системами. Речь идёт о структурах в секторах здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, а также топливно-энергетического комплекса, у которых есть объекты критической инфраструктуры.

Минцифры прорабатывает новый законопроект, касающийся критической информационной инфраструктуры страны

Как отметила Камышная, организации могут сами определять значимость объектов и не относить их к КИИ. Руководитель направления информационной безопасности CorpSoft24 Демьян Раменский объясняет, что для наиболее значимых объектов КИИ предусмотрены жесткие технические и организационные требования в плане надёжности и защиты. Поэтому некоторые участники рынка намеренно занижают категорию значимости своих систем: благодаря этому снижаются и критерии регуляторов.

Новый законопроект, подготовленный в Минцифры, предполагает введение принципов определения критичности инфраструктуры. В документе, в частности, установлены критерии по формированию перечня объектов КИИ, а также прописаны сроки перехода на российский софт. В дальнейшем перечень должен быть согласован с госорганом или российским юридическим лицом, который (которое) «выполняет функции по разработке государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ».

Как уточняют «Ведомости», ссылаясь на источники в правительстве и ИТ-компаниях, проект документа уже согласован с заинтересованными сторонами: он готовится для внесения в Госдуму.[3]

2022

Правительство закрывает лазейку для закупок зарубежного ПО

Российским компаниям, выполняющим роль субъектов критической информационной инфраструктуры (КИИ), запретят закупать иностранное программное обеспечение, даже если у него нет отечественных аналогов. Соответствующее рекомендации по формированию отраслевых планов мероприятий для перехода на российский софт были утверждены Правительством РФ в конце августа 2022 года.

Как пишут «Ведомости» со ссылкой на этот документ, доля российского и евразийского ПО на значимых объектах КИИ по отрасли должна вырасти к концу 2022 году по сравнению с показателями конца августа на 10%. К концу 2023-му эта доля должна превышать исходные показатели уже на 40%. А за период 2024–2027 гг. все ПО на объектах КИИ на 100% должно быть отечественным.

Лазейка для закупок зарубежного ПО закрывается

Представитель Минцифры напомнил газете, что с 1 января 2025 года госорганам и госкомпаниям запрещено использовать иностранное ПО на значимых объектах КИИ (по указу президента от 30 марта 2022 года). Как технически будут реализовываться методические рекомендации, он уточнить отказался. Председатель совета директоров «Базальт СПО» Алексей Смирнов пояснил, что до начала 2025 года российские компании могут закупать иностранные версии ПО по согласованию с правительством. Российские разработчики получают преимущество при участии в госзакупках с 2016 года, когда вступил в силу закон «Об импортозамещении», напомнил Смирнов.

Прежде компании заявляли об избыточном функционале, чтобы отсеять другое ПО и получить разрешение на покупку зарубежного софта, сообщил изданию директор по стратегии и развитию технологий Axiom JDK компании «Беллсофт» Роман Карпов.

«
Например, заявлялось, что нужен такой-то самолет, а по факту используется только крыло самолета, — привел он аналогию. [4]
»

Мишустин поручил Минцифры установить требования к использованию отечественных ИКТ-решений в отраслях

Премьер-министр Михаил Мишустин поручил Минцифры РФ установить требования к использованию отечественных ИКТ-решений в отраслях. Об этом пресс-служба Правительства РФ сообщила 23 сентября 2022 года.

Согласно поручению Мишустина, которое он дал по итогам стратегической сессии, состоявшейся 13 сентября 2022 года, законопроект о преимущественном использовании отечественного софта, программно-аппаратных комплексов, телекоммуникационного оборудования и радиоэлектронной продукции должен быть внесён в кабмин до 1 ноября 2022 года.

Мишустин Михаил Владимирович

Предполагается, что этот документ установит требования по преимущественному использованию всеми субъектами критической информационной инфраструктуры отечественного софта, программно-аппаратных комплексов, телекоммуникационного оборудования и радиоэлектронной продукции (с учётом их готовности к массовому внедрению) на принадлежащих им значимых инфраструктурных объектах. Кроме того, в законопроекте должны быть уточнены полномочия отраслевых ведомств в части отнесения информационных систем к значимым объектам критической информационной инфраструктуры.

«
Нам важно обеспечить технологическую независимость от используемого иностранного программного обеспечения, стимулировать спрос на наши продукты. Это очень важно в условиях внешнего давления, – подчеркнул Михаил Мишустин во время своего выступления на стратегической сессии.

»

В рамках этой работы по решению Правительства РФ были созданы 33 индустриальных центра компетенций, объединивших больше 300 организаций. Также были определены важнейшие ниши и направления, где доминирует иностранное программное обеспечение, и сформирован пул проектов, реализация которых должна обеспечить решение задачи по достижению технологической независимости.[5]

Правительство нашло новый способ ускорить импортозамещение в сфере ПО - ключевые ИТ-системы отнесут к КИИ

13 сентября 2022 года премьер-министр Михаил Мишустин объявил о планах правительства ускорить переход компаний на отечественный софт за счет включения новых ИТ-систем в список объектов критической информационной инфраструктуры (КИИ).

«
Все ключевые типы систем и приложений мы планируем отнести к объектам критической информационной инфраструктуры. И по каждой из позиций Правительством будет установлен финальный срок перехода на российское программное обеспечение", - заявил Мишустин на стратегической сессии об импортозамещении ПО 13 сентября 2022 года.
»

Правительство нашло способ ускорить переход организаций на российский софт

Председатель правительства назвал конкурентной ситуацию в сфере ПО, поскольку уже для 80% иностранного софта есть российские аналоги, причем по трети позиций представлены два или более отечественного варианта. Примерно по 400 видов корпоративного ПО бизнес подтвердил критическую зависимость от импорта, сообщил Мишустин. Он добавил, что объём ежегодных расходов частного сектора на покупку лицензий, внедрение и поддержку составляет около 200 млрд рублей.

При этом премьер считает, что для России важно «не воссоздать текущий функционал зарубежных программных продуктов, а запустить свои, в полной мере отвечающие нуждам компаний». Также он заявил, что продукты должны быть ориентированы на экспорт, и потребовал, чтобы разработки не уступали импортным аналогам.[6]

Председатель Ассоциации разработчиков отечественных программных продуктов Наталья Касперская рассказала «Известиям», что необходимо еще и услышать мнение разработчиков.

«
Минцифры собрало мнения различных отраслей, какого ПО им не хватает. Отрасли написали свои пожелания. К сожалению, пожелания эти не были пропущены, по крайней мере пока, через мнения участников отрасли разработки ПО. Это произошло потому, что был поставлен жесткий срок по предоставлению материалов в правительство и большинство разработчиков просто не успели отреагировать, — пояснила Касперская.
»

Утверждены правила использования ПО на значимых объектах критической информационной инфраструктуры

Правительство РФ утвердило требования к программному обеспечению, используемому органами власти и госкомпаниями на значимых объектах критической информационной инфраструктуры. Кроме того, утверждены правила согласования закупок иностранного и перехода на отечественное ПО. Об этом TAdviser 26 августа 2022 года сообщили в Минцифры России.

Источник иллюстрации: ru-bezh.ru

Постановление подготовлено во исполнение Указа Президента о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ.

Согласно утвержденным требованиям, на значимых объектах критической информационной инфраструктуры может использоваться только программное обеспечение, включенное в реестр российского или евразийского ПО. Отдельные виды продуктов должны иметь сертификат, подтверждающий соответствие требованиям ФСБ и ФСТЭК России.

Закупка иностранного ПО при этом должна быть согласована отраслевым министерством. Для закупок свыше 100 млн рублей требуется также дополнительное согласование комиссии, которая будет сформирована при Минцифры России.

Контроль за соблюдением госкомпаниями Правил согласования закупок иностранного ПО будет осуществлять также Минцифры России.

В то же время, министерствам необходимо утвердить отраслевые планы перехода на российское программное обеспечение на значимых объектах критической информационной инфраструктуры. На их основе госкомпании должны будут сформировать и утвердить индивидуальные планы перехода.

Минпромторг разработал порядок перевода объектов критической инфраструктуры на российское ПО и оборудование

Министерство промышленности и торговли РФ разработало порядок перевода объектов критической информационной инфраструктуры (КИИ) на российское программное обеспечение и оборудование. Соответствующий проект постановления правительства, разработанный ведомством, опубликован для общественного обсуждения.

Согласно документу, организации должны будут провести аудит своих объектов КИИ и разработать проект плана перехода на «преимущественное применение доверенных программно-аппаратных комплексов» – то есть тех, в состав которых входят российские радиоэлектронная продукция и ПО, находящиеся в соответствующих реестрах Минпромторга и Минцифры.

Минпромторг России разработал порядок перевода объектов КИИ на ПАКи с отечественными компонентами.

Разработку, создание и сервисное обслуживание таких ПАК для КИИ должно будет осуществлять специально созданное для этого научно-производственное объединение (НПО). Обеспечивать его организацию будет правительство РФ.

В проект плана перехода включат перечень используемых радиоэлектронной продукции, телеком-оборудования и ПО, сроки амортизации и действия прав на ПО, а также предложения по переходу на доверенные ПАК, отечественное железо и софт и возможные источники финансирования.

По мнению заместителя директора департамента консалтинга ГК Innostage Данияра Исхакова, составленные и опубликованные планы перехода дадут производителям российской радиоэлектронной продукции возможность оценить требуемые объемы и их технические и функциональные характеристики. Это позволит целенаправленно работать над выпуском необходимого рынку оборудования, сообщил он в разговоре с изданием RSpectr.

Минпромторг предлагает спланировать переход КИИ на программно-аппаратные комплексы (ПАК) с российскими компонентами до апреля 2023 года. Мониторинг перехода субъектов КИИ на преимущественное применение российского ПО планируется закрепить за Минцифры.[7] [8]

Путин поддержал запрет на иностранное ПО на негосударственных объектах критической инфраструктуры

18 июля 2022 года президент России Владимир Путин заявил, что поддерживает запрет на использование иностранного программного обеспечения на негосударственных объектах критической информационной инфраструктуры (КИИ) в стране. Этот запрет предложил ввести вице-премьер Дмитрий Чернышенко на заседании совета по стратегическому развитию и нацпроектам.

«
Те предложения, которые вы сделали, будут поддержаны. Проект указа - он уже готовится - будет подписан, - сказал Путин.
»

Владимир Путин

Чернышенко отметил, что необходимо определить специальные условия использования существующего зарубежного ПО, пока работа над отечественными аналогами еще не завершена. Он также уточнил, что важно «избежать такой ситуации, когда пользователи законсервируют зарубежные решения и будут продолжать на них работать, не развиваясь». В связи с этим требования по использованию отечественного софта должны распространяться на все значимые объекты КИИ, а не только на те, которые принадлежат госструктурам и госкомпаниям.

Заместитель председателя Правительства РФ также указал на необходимость решить следующую задачу - обеспечить единообразие в категорировании всех значимых объектов КИИ, поскольку часто возникают ситуации, когда сама компания не относит важные информационные системы к значимым объектам КИИ.

«
Поэтому для каждой отрасли профильное федеральное ведомство совместно с Минцифры, ФСБ и ФСТЭК должно определить, какие типы информационных систем необходимо отнести к значимым объектам КИИ, - считает замглавы кабмина.
»

По этим типам информационных систем в разрезе отраслей правительство может уже для всех без ограничений компаний установить сроки обязательной замены зарубежного ПО на российское, добавил Чернышенко. [9]

Путин запретил покупать иностранное программное обеспечение для критической инфраструктуры

Президент РФ Владимир Путин 30 марта подписал указ[10] о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры (КИИ) страны, постановляющий, что:

  • с 31 марта 2022 года заказчики (за исключением организаций с муниципальным участием), осуществляющие закупки по 223-ФЗ, не могут осуществлять закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования на принадлежащих им значимых объектах КИИ России, а также закупки услуг, необходимых для использования этого программного обеспечения на таких объектах, без согласования возможности осуществления закупок с федеральным органом исполнительной власти, уполномоченным правительством;
  • с 1 января 2025 года органам государственной власти, заказчикам запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ.

Владимир Путин подписал указ, запрещающий организациям, закупающимся по 223-ФЗ, приобретать иностранное программное обеспечение для критической инфраструктуры (фото - РИА Новости / Михаил Климентьев)

Тем же указом Путин поручил правительству в месячный срок утвердить:

  • требования к ПО, используемому госорганами, заказчиками на принадлежащих им значимых объектах КИИ;
  • правила согласования закупок иностранного ПО в целях его использования заказчиками на принадлежащих им значимых объектах КИИ, а также закупок услуг, необходимых для использования этого ПО на таких объектах;

А в 6-месячный срок президент поручил правительству реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения субъектами КИИ отечественных радиоэлектронной продукции и телеком-оборудования на принадлежащих им значимых объектах КИИ, в том числе:

  • определить сроки и порядок перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ;
  • обеспечить внесение в законодательство РФ изменений в соответствии с настоящим указом;
  • обеспечить создание и организацию деятельности научно-производственного объединения, специализирующегося на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов для КИИ;
  • организовать подготовку и переподготовку кадров в сфере разработки, производства, технической поддержки и сервисного обслуживания радиоэлектронной продукции и телеком-оборудования;
  • создать систему мониторинга и контроля в названной сфере.

Контроль за выполнением указанных правил также возложен на правительство.

Минцифры готовит механизм противодействия продаже прав на российское ПО за границу

Минцифры проработает вопрос о создании механизмов противодействия и реагирования в случае продажи прав на программные продукты, включенные в реестр отечественного ПО, иностранному юлицу. Это следует из письма (есть в распоряжении TAdviser) замминистра цифрового развития Максима Паршина, направленного в конце марта в РУССОФТ, АПКИТ, АРПП «Отечественный софт» и Центр компетенций по импортозамещению в сфере ИКТ, от которых ожидается оперативная обратная связь по этой инициативе. Подробнее здесь.

Из-за проблем с импортным софтом в России могут встать заводы, водоканалы и нефтепроводы

Есть порядка 10-15 импортных программных продуктов, которые широко используют ведущие российские промышленные предприятия, и ограничение или прекращение доступа к которым несёт в себе критические риски. Такие сведения озвучили 22 марта 2022 года в ИТ-компании «Цифра».

Например, это продукты Aveva (Wonderware) в области управления производством (MES) для непрерывных производств. Гендиректор «Цифры» Игорь Богачев отмечает, что их используют большинство нефтеперерабатывающих и металлургических предприятий в России.

Один из популярных продуктов – платформа передачи данных PI System от Aveva (изначально разрабатывалась OSI Soft). Если вендор решит отозвать лицензии, то крупнейшие нефтеперерабатывающие предприятия России останутся без системы диспетчеризации, говорит Богачев. Более того, по данным «Цифра», 90% непрерывных производств в России используют PI System в качестве базы данных реального времени, которая собирает промышленную информацию, на основе которой осуществляется оперативное управление производством.

«
Какие-то риски, ошибки, связанные конкретно с этой программной системой по сути могут повлечь за собой остановку большинства непрерывных производств. Мы говорим и про нефтегаз, и про металлургию, и про энергетику, - отмечает гендиректор «Цифры».
»

Проблема зависимости российских промышленных предприятий от зарубежного софта прорабатывается совместно с регуляторами и отраслью

Сюда же можно отнести продукты разработчика Petroleum Experts, которые широко применяются в нефтянке для интегрированного моделирования активов и интегрированного планирования добычи углеводородов.

Еще один пример – продукты для сбора данных и диспетчерского контроля уровня SCADA. Так, «Транснефть» и Мосводоканал применяют HMI/SCADA iFIX компании GE. В первом случае – для управления заглушками, насосами нефти, во втором случае – воды. Эти системы являются критически важными. Их отключение в «Транснефти» может привести к полной остановке транспортировки нефти и нефтепродуктов по трубопроводам компании и к необходимости перейти на ручное локальное управление, оценивают в «Цифре».

А если аналогичное произойдёт в Мосводоканале, то риск связан с перебоями водоснабжения многих районов мегаполиса. При этом можно перейти на полуавтоматическое локальное управление процессами, насосами и задвижками и восстановить водоснабжение, но для этого потребовалось бы удвоить штат операторов.

На большинстве российских НПЗ, по данным «Цифры», для установок первичной и глубокой переработки нефти используется ПО класса DCS (распределенных систем управления, РСУ) компаний Honeywell, Emerson, ABB, Yokogawa. Отключение РСУ приводит к остановке заводов, поясняет гендиректор «Цифры».

«
Чем больше в ПО инженерного знания, тем сложнее его импортозаместить, - отметил в разговоре с TAdviser Игорь Богачев. – Например, различные CAD/CAM-системы или системы геологического цифрового моделирования – наиболее сложные для импортозамещения.
»

Некоторые риски, связанные с использованием импортного ПО, о которых говорили не один год, уже наступили. Например, SAP отказал «Силовым машинам» в поддержке облачной платформы, фактически запретив доступ к ней, говорит Игорь Богачев. Доступ к облачным сервисам после начала спецоперации Вооружённых сил России на Украине стали ограничивать и другие западные вендоры.

Некоторые заказчики успокаивают себя тем, что отключены могут быть облачные решения, а развёрнутое на собственных серверах ПО отключить нельзя, но в случае с критически важными системами риски связаны не только с потенциальным отключением, говорит Богачев. В любом ПО, особенно сложном, бывают ошибки, и оно нуждается в постоянной поддержке. Риск заключается в том, что критически важные системы зависят от разработчика, который работает в других странах, в других экономиках, и что система, которая по какой-то причине начала работать с ошибками, не сможет быть исправлена, если разработчик окажется недоступным. Собственная служба поддержки в этом случае мало поможет, поскольку у неё нет исходных кодов решений.

С конца февраля на фоне спецоперации Вооружённых сил России на Украине многие технологические компании устроили демарш из России или объявили об ограничении своей деятельности в стране, включая услуги поддержки. Вышеупомянутая Aveva таких заявлений не делала, однако Schneider Electric, подразделением которого она является, в марте сообщал о приостановке инвестиций в Россию и новых проектов в России и Беларуси[11]. О приостановке или прекращении деятельности на территории России сообщали также указанные выше GE, Honeywell, Emerson. ABB заявляла о приостановке приема заказов из России.

В «Цифре» полагают, что сейчас нужно достаточно быстро в масштабах страны и каждого конкретного предприятия создавать оперативный план если даже не импортозамещения, то хотя бы снижения рисков, связанных с тем, что критические системы могут просто перестать функционировать, считает он.

Проблема зависимости промышленных предприятий от зарубежного софта прорабатывается совместно с регуляторами и отраслью. Так, на прошлой неделе состоялось совещание в Минцифры, на котором присутствовали представители органов власти, Центра компетенции по импортозамещению в сфере ИКТ, отечественных промышленных предприятий, включая «Росатом» и ОДК, и разработчики ПО. Цель была в том, чтобы понять, что надо делать, и как быстро можно двигаться.

«
На выходе должны быть инициативы по целевому выращиванию отечественных продуктов на замену импортным. Для этого, с одной стороны, инициативы должны родиться, а с другой стороны должны быть бюджетные средства, - заявил Богачев TAdviser.
»

По оценкам «Цифры», 60% западного промышленного ПО можно заменить готовыми российскими аналогами, еще 40% разработок необходимо дописывать.

2021

Администрация президента раскритиковала проект перевода госорганов, банков и оборонки на отечественные ИТ-решения

Как стало известно 17 ноября 2021 года, Государственно-правовое управление (ГПУ) президента раскритиковало разработанный Минцифры проект об экономических мерах обеспечения технологической независимости и безопасности объектов информационной инфраструктуры (КИИ).

Этот документ предлагает установить единый срок перехода КИИ на отечественное оборудование и ПО — 1 января 2023 года. В ГПУ заявили, что в проекте указа президента не оценена возможность исполнения этих требований в указанный срок.

Администрация президента раскритиковала проект перевода госорганов, банков и оборонки на отечественные ИТ-решения

Кроме того, инициатива Минцифры может противоречить Конституции, поскольку ведомство предлагает возложить импортозамещение на широкий круг лиц, однако их права и свободы могут быть ограничены только в целях обеспечения обороны страны и безопасности государства исключительно федеральным законом, считают в ГПУ.

Ещё один предмет критики Государственно-правового управления президента связан с предложением возложить на Правительство РФ обязанность по утверждению порядка перехода и требований к ПО и оборудованию на объектах КИИ. Дело в том, что направления госполитики в области безопасности КИИ уполномочен определять президент, пояснили в ГПУ.

По словам источника «Коммерсанта» в одном из банков, критика ГПУ поможет отсрочить принятие дкокумента, который бьет по всем критическим отраслям — от банков до металлургов.

«
Есть много нерешенных вопросов: что делать, если у банка «самописное» ПО, а если ПО на «аутсорсе»? Срок перехода очень агрессивный. Он возможен, но должен быть плавным, иначе возникнет угроза безопасности, — отметил собеседник.
»

Старший аналитик Райффайзенбанка Сергей Либин согласен с тем, что Минцифры хочет установить жесткий дедлайн на переход КИИ на российские ИТ-решения. Вероятно, такие сроки связаны с желанием властей подстегнуть развитие необходимого ПО, полагает он.[12]

Перевод КИИ на российское «железо» и ПО может повлечь «необоснованные расходы» бизнеса и государства

Министерство экономики России раскритиковало план Минцифры по импортозамещению на объектах критической информационной инфраструктуры (КИИ). Об этом стало известно 14 мая 2021 года.

По мнению Минэкономики, в разработанном Минцифры документе содержатся избыточные требования, наличие которых повлечет за собой дополнительные необоснованные расходы бюджета и бизнеса при импортозамещении в КИИ.

«
В проекте акта выявлены положения, которые вводят избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствуют их введению, а также способствуют возникновению необоснованных расходов субъектов предпринимательской и иной деятельности или способствуют возникновению необоснованных расходов бюджетов всех уровней бюджетной системы РФ», – сказано в отзыве Минэкономики.
»

Проект постановления Правительства России Минцифры опубликовало 2 февраля 2021 г. Его общественное обсуждение длилось до 1 марта 2021 г.

В подготовленном Минцифры проекте постановления Правительства, помимо прочего, вносится предложение о проведении анализа зарубежного софта и «железа», используемого на май 2021 года в компаниях. В отзыве Минэкономики на этот проект указано, что критерии для проведения такого анализа «недостаточно определенные».

В министерстве считают также, что эти критерии не учитывают «разницу в стоимости и сроках поставки таких ПО и оборудования».

«
В этой связи в случае отсутствия возможности поставки оборудования и ПО в необходимые сроки, а также по стоимости, значительно превышающей иностранный аналог, проектируемое регулирование способно негативно сказаться на функционировании субъектов КИИ как в части предоставления услуг населению, так и финансово-экономической деятельности субъектов предпринимательской деятельности, – говорится в заключении Минэкономики.
»

Эксперты министерства предлагают внедрять такое регулирование не сразу, а в несколько этапов с учетом сроков поставки российского оборудования и в зависимости от значимости объектов КИИ.

Министерство также обратило внимание на тот факт, что проект постановления Правительства предлагает согласовывать перечень используемых и планируемых к использованию иностранных ПО и оборудования с Минцифры, Минпромторгом и Банком России (для субъектов КИИ в банковской сфере).

«
Однако критерии такого согласования ни проектом акта, ни иными нормативными правовыми актами не устанавливаются», – сказано в отчете[13].
»

Расходы предприятий при переходе на российские ИТ-решения могут превысить 1 трлн рублей

При введении требований об обязательном переводе ИТ-систем объектов критической информационной инфраструктуры (КИИ) на российские программные и аппаратные решения расходы бизнеса могут превысить 1 трлн рублей. Такую оценку президент Российского союза промышленников и предпринимателей (РСПП) Александр Шохин привел в письме, отправленном главе правительства Михаилу Мишустину.

Как пишет РБК со ссылкой на это обращение, его авторы просят кабмин поручить профильным ведомствам доработать вместе с бизнесом изменения в законодательство, подготовленные Минцифры, и механизм постепенного перехода на российское ПО.

Расходы банков и предприятий при переходе на российское ПО могут превысить 1 трлн рублей

Представитель Минцифры сообщил изданию, что с мая 2020 года министерство «находилось в постоянном диалоге с коммерческими компаниями» относительно подготовки требований по переходу на российское ПО.

По словам Шохина, Минцифры предъявляет одинаковые требования к владельцам критической информационной инфраструктуры, которые имеют разную значимость для информационной безопасности России.

«
Например, объекты КИИ на атомной станции и на рынке массовых услуг (частный банк, оператор связи, поликлиника, продажа билетов на транспорт и прочие) имеют разные оценки рисков безопасности для программного обеспечения и оборудования, а также радикально различаются уровнем значимости для информационной безопасности страны и ее обороноспособности, — заявил глава РСПП.
»

Кроме того, он указал, что данные Минцифры о наличии на российском рынке аналогов иностранного оборудования и софта расходятся с реальностью. По данным РСПП, к апрелю 2021 года только 49 из 3827 позиций российской радиоэлектронной продукции «теоретически» могут использоваться на производстве. Остальных либо недостаточно, либо они не позволяют обеспечить бесперебойную и эффективную работу промышленности.[14]

Введение штрафов за нарушение защиты критической ИТ-инфраструктуры

В конце января 2021 года Государственная Дума приняла в первом чтении разработанный Правительством РФ законопроект о штрафах за нарушение требований безопасности критической информационной инфраструктуры (КИИ).

Так, максимальный штраф в 100 тыс. рублей вводится за нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, если такие действия (бездействие) не содержат уголовно наказуемого деяния.

В России вводятся штрафы за нарушение защиты критической ИТ-инфраструктуры

Нарушение «порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак», согласно тексту законопроекта, будет грозить должностным лицам штрафом в размере от 10 тыс. до 50 тыс. рублей, а юридическим лицам – от 100 тыс. до 500 тыс. рублей.

Кроме того, за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, предусмотрены штрафы для должностных лиц – от 20 тыс. до 50 тыс. рублей, для юридических лиц – от 100 тыс. до 500 тыс. рублей.

В пояснительной записке указано, что действующее законодательство о безопасности информационной инфраструктуры госорганов, банков, промышленности и обороны выполняется не в полной мере, что создает угрозу ее безопасности.

В частности, приводится пример масштабной кибератаки 2017 года, когда большое количество компьютерной техники в ряде госкомпаний было поражено вирусом-шифровальщиком WannaCry. На восстановление работы информационной инфраструктуры ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.[15]

Минцифры предлагает ускорить переход банков и ТЭК на российские ИТ-решения

18 января 2021 года стало известно о предложении Министерства цифрового развития, связи и массовых коммуникаций РФ ускорить на год переход на отечественное для объектов критической информационной инфраструктуры. К ним относятся сети и ИТ-системы госорганов, а также государственных и частных предприятий оборонной промышленности, энергетики, топливной и атомной промышленности, транспорта, кредитно-финансовой сферы и др.

Прежде Минцифры предполагала миграцию таких объектов на преимущественное использование российского софта до 1 января 2024 года, а российского оборудования — до 1 января 2025-го. В новом проекте указа президента РФ, опубликованном на портале проектов нормативных правовых актов, указаны следующие сроки: до 2023 года и 2024 года соответственно.

Минцифры предлагает на год ускорить переход банков и ТЭК на российские ИТ-продукты

Как пояснили ТАСС Информационное агентство России в Минцифры, решение об изменении сроков принято на основе предложений, поступивших во время общественного обсуждения проекта, в том числе позиции о готовности российских разработчиков обеспечить отрасли экономики российскими решениями.

Согласно проекту, под преимущественным понимается приоритетное использование российского ПО и (или) оборудования при наличии соответствующих российских аналогов.

Сложнее всего переход на российское ПО и оборудование будет для структур, у которых значимыми объектами КИИ являются автоматизированные системы управления технологическими процессами: у них, как правило, длительный и сложный цикл внедрения, считает ведущий эксперт направления «Информационная безопасность» компании «Крок» Евгений Дружинин. Прежде всего это относится к таким отраслям, как энергетика, топливно-энергетический комплекс, металлургическая и химическая промышленность, атомная отрасль, сказал он «Ведомостям».

В 2020 году глава Минпромторга Денис Мантуров говорил, что доля российских компаний на рынке оборудования для критической информационной инфраструктуры составляет около 15-20% в основном за счет закупок для государственных нужд.[16]

Минцифры разработало требования к ПО и оборудованию для объектов КИИ

В январе 2021 года Министерство цифрового развития, связи и массовых коммуникаций РФ представило доработанные требования к программному обеспечению и оборудованию для объектов критической инфраструктуры (КИИ). Соответствующий документ опубликован на федеральном портале проектов нормативных правовых актов.

Этот проект постановления правительства устанавливает Минцифры и Минпромторг ответственными за соблюдением проекта порядка в части ПО и в части телекоммуникационного оборудования и радиоэлектронной продукции соответственно.

Проект требований направлен на установление критериев, которым должны соответствовать ПО, телекоммуникационное оборудование и радиоэлектронная продукция, а также условий, обеспечение которых необходимо для их использования на объектах КИИ.

Минцифры представило требования к программному обеспечению и оборудованию для объектов КИИ

Кроме того, документ предусматривает возможность направления на согласование в уполномоченные федеральные органы исполнительной власти перечней используемых и (или) планируемых к использованию иностранных ПО, телекоммуникационного оборудования и радиоэлектронной продукции, аналоги которых отсутствуют в едином реестре российских программ для электронных вычислительных машин и баз данных или едином реестре программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза и (или) в едином реестре российской радиоэлектронной продукции.

В разговоре с ComNews начальник управления центра компетенций по вычислительным комплексам компании «Техносерв» Роман Бобрышев отметил, что эта инициатива Минцифры должна способствовать развитию процесса перехода объектов КИИ на преимущественное использование российских ИТ-решений, хотя бы потому, что в нем указан порядок действий, который необходимо выполнить, а также будут определены сроки.[17] [18]

2020

Бизнес попросил о поэтапном переходе банков и ТЭК на российское оборудование и ПО

В конце ноября 2020 года Российский союз промышленников и предпринимателей (РСПП) дал своё заключение к разработанному Минцифры проекту указа президента о переходе объектов критической информационной инфраструктуры (КИИ) на отечественное ПО и оборудование до 1 января 2024 года и до 1 января 2025-го соответственно.

В комиссии РСПП по связи и информационно-коммуникационным технологиям сочли такой формат неправильным. Оборудование первично, поэтому предлагаемая последовательность перехода приведет к неэффективным затратам: компании будет вынуждены устанавливать российский софт на имеющейся импортной технике, а через год переносить это ПО на новые российские устройства и адаптироваться к ним, говорится в заключении комиссии, выдержки из которого приводит «Коммерсантъ».

Бизнес попросил о поэтапном переходе банков и ТЭК на российское программное обеспечение и оборудование

В союзе отмечают, что на объектах КИИ, как правило, применяются ИТ-решения зарубежных производителей, которые зачастую отсутствуют в России или представлены существенно уступающими в функциональности отечественным аналогам, поэтому инициативы Минцифры могут привести к остановке бизнес-процессов и массовых услуг в области связи, интернет-сервисов, банковской сферы, медицины и др. Кроме того, по мнению РСПП, законопроект в его текущем виде может заставить бизнес изменить свои инвестиционные планы. В заключении приводятся данные, согласно которым одна из металлургических компаний оценила расходы на установку российского ПО и оборудования в 10 млрд рублей.

Сроки перехода не учитывают необходимость при такой масштабной перестройке действовать поэтапно, это и затратно, и рискованно, соглашается руководитель центра ИТ-консалтинга МДТ «Цифра» Ольга Молярчук. По ее мнению, связность и консистентность отечественных ИT-решений и оборудования еще не достигают уровня глобальных аналогов, что требует существенных усилий для отбора и тестирования бизнесом.[19]

Банки попросили передать ЦБ контроль над переходом на российское ПО

В конце ноября 2020 года стало известно о позиции Ассоциации банков России (АБР) касательно контроля над переходом кредитных организаций на отечественное программное обеспечение. По мнению организации, курировать этот вопрос должен ЦБ РФ, а не Министерство цифрового развития, связи и массовых коммуникаций РФ, поскольку ведомство не понимает специфику банковской отрасли.

О том, что отвечать за вопросы софтверного импортозамещения в банках будет Минцифры, говорится в подготовленном министерством проекте указа президента РФ, который был опубликован в конце октября 2020 года. В этом случае может быть потерян контроль над данными, составляющую банковскую тайну, предупредили в АБР в письмах, разосланных в Минцифры, Минэкономразвития, Минюст и ЦБ.

Банки попросили передать ЦБ РФ контроль над переходом на российское программное обеспечение

По мнению авторов обращения, банки лишатся возможности использовать ПО собственной разработки, не включенное в реестр отечественного ПО. Кроме того, проект указа устанавливает сроки перехода на отечественный софт, не учитывая того, что в реестре просто нет необходимых банкирам программ, сказано в письме АБР, выдержки из которого приводят «Ведомости».

Минцифры также предлагает смягчить невыполнимые сроки перевода критической информационной инфраструктуры (КИИ, сюда среди прочего относятся ИТ-системы банков) на отечественный софт и оборудование, сдвинув их с 2021 на 2024–2025 годы.

На разработку сложного ПО, особенно в банковской сфере, нужно больше времени, сообщил «Коммерсанту» исполнительный директор Artezio (входит в ГК «Ланит») Павел Адылин. Перед отечественными компаниями стоит задача за три года догнать, а в идеале — превзойти мировых лидеров в программных решениях, отмечает он. Отставание производителей оборудования и ПО от отрасли не позволяет выполнить сверхбыстрый переход, но новые сроки выполнимы, полагает глава департамента информбезопасности МКБ Вячеслав Касимов.[20][21]

ИТ-бизнес попросил Путина не затягивать переход банков и ТЭК на российское ПО и оборудование

Как стало известно 20 ноября 2020 года, Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» и Ассоциация российских разработчиков и производителей электроники (АРПЭ) направили президенту России Владимиру Путину письмо с просьбой не допустить переноса сроков перехода на использование российского оборудования и программного обеспечения в отраслях с критической информационной инфраструктурой (КИИ).

По словам авторов обращения, Россия находится в непростых условиях внешних санкций и острой конкурентной борьбы с ведущими ИТ-державами, «что создаёт очевидную угрозу государственной безопасности в виде потери цифрового, а за ним и национального суверенитета».

ИТ-бизнес попросил российское правительство не затягивать процесс перехода банков на российское ПО и оборудование

Как пишет РБК, председатель правления АРПП «Отечественный софт» Наталья Касперская и исполнительный директор АРПЭ Иван Покровский указывают, что именно в ближайшие годы будут реализованы программы цифровизации экономики и если отложить переход на отечественное ПО и оборудование, то «это поставит в зависимость от зарубежных вендоров не только отрасль информационных технологий, но в целом экономику и систему государственного управления». Авторы признают, что у скорого перевода владельцев критической информационной инфраструктуры на российский софт и оборудования есть риски, на которые указывают владельцы подобных объектов. Но главы ассоциаций настаивают, что «нарастающие риски информационной безопасности и технологической зависимости не позволяют откладывать процесс импортозамещения».

Подготовленный Минцифры указ о 3-летней отсрочке внедрения российских решений на объектах КИИ в АРПП и АРПЭ назвали происками ряда участников рынка, которые хотят продолжить закупки и внедрение иностранных технологий.

В Минцифры говорят, что ведомство решило продлить сроки перехода на отечественные продукты после того, как участники рынка выразили несколько опасений, связанные в том числе с:

  • существенным уровнем затрат, необходимых для перехода;
  • важностью сохранения непрерывности работы в условиях перехода;
  • неготовностью отечественных разработчиков ПО и производителей оборудования удовлетворить потребности.[22]

Банки попросили ЦБ отложить переход на российское оборудование и ПО

Как стало известно 11 ноября 2020 года, Ассоциация банков «Россия» (АБР) направила заместителю председателя ЦБ Дмитрию Скобелкину с просьбой отложить обязательный переход владельцев критической информационной инфраструктуры (КИИ) на использование преимущественно отечественных программных и аппаратных продуктов.

Как пишет РБК, Минцифры уже продляло переход с начала 2022 года на 1 января 2024 года для ПО и на 1 января 2025 года — для оборудования. Однако этого, объяснили в ассоциации, будет недостаточно, чтобы полноценно заменить 85% используемых ИТ-решений.

Банки попросили ЦБ РФ отложить переход на российское оборудование и ПО

При этом в некоторых категориях ПО и оборудования на рынке нет российских аналогов, «обеспечивающих требуемый функционал и информационную безопасность», говорится в письме.

«
Необходимость проведения масштабных затрат неизбежно повлияет на объем и качество предоставляемых банками финансовых услуг населению и реальному сектору экономики. Мы оцениваем, что сокращение капитала банков приведет к сокращению размера кредитования на сумму 5–7 трлн рублей, что негативно отразится на экономике страны, — подчеркнули в ассоциации.
»

АРБ также попросило Банк России не включать в специальный реестр софт и оборудование, которое разработали они сами, но разрешить их использование. Среди других предложений — создание облегченных правил вхождения в реестр для решений, которые разработаны компаниями из банковских групп и используются только внутри банка. На ЦБ предлагается возложить функции контроля за процессами импортозамещения на финансовом рынке.

По словам вице-президента АРБ Алексея Войлукова, новые предложения от банков были сформулированы по итогам опроса, в котором участвовали 28 кредитных организаций, девять из которых входят в ТОП-20 по размеру активов. Банк России изучит новые предложения, сообщил представитель ЦБ.[23]

Реакция ИТ-отрасли на новые сроки перехода владельцев КИИ на российский софт и оборудование

TAdviser выяснил мнение представителей ИТ-индустрии о новых сроках перехода на преимущественно отечественное программное обеспечение (ПО) и оборудование владельцев критической информационной инфраструктуры (КИИ). 29 октября 2020 года Министерство цифрового развития вынесло на общественное обсуждение проект приказа президента, согласно которому на отечественное ПО владельцы КИИ должны перейти до 1 января 2024 года, а на российское оборудование - до 1 января 2025 года[24]. Документ также наделяет правительство правом утверждения требований к ПО и оборудованию, используемому на объектах критической информационной инфраструктуры (КИИ), и порядок перехода на российские решения.

В мае 2020 года Минцифры предлагало владельцам КИИ сделать это быстрее: перейти на преимущественное использование отечественного ПО с 2021 года, на российское оборудование - с 2022 года. Несмотря на то, что дедлайны сдвинулись, большинство опрошенных TAdviser респондентов все равно считают их слишком жесткими.

Согласно проекту приказа президента, на отечественное ПО владельцы КИИ должны перейти до 1 января 2024 года, на российское оборудование - до 1 января 2025 года. (фото - attestation.ru)

Сроки перехода достаточно сжатые, и их реалистичность будет зависеть от финансовых возможностей владельцев КИИ, считает директор по безопасности «МойОфис» Александр Буравцов.

«
Скорее всего, реализация новых положений приведет к увеличению планируемого объема затрат. Кроме того, для владельцев систем переход на преимущественное использование российского ПО и оборудования сопряжен с рядом трудностей, которые могут быть вызваны отсутствием отечественных аналогов или необходимой функциональности. В процессе пилотирования и опытной эксплуатации нового оборудования и программного обеспечения, компании-субъекты КИИ также могут столкнуться с ошибками и сбоями работы своих систем. Причем перестройка на новые решения потребуется не только для основной деятельности, но и для систем безопасности, - проинформировал TAdviser Александр Буравцов.
»

Представленный Минцифры порядок перехода, по его мнению, оставляет владельцам КИИ возможность обосновать необходимость использования зарубежного оборудования и закупки иностранного ПО. Данный факт несомненно отразится на реализации государственных программ и национальных проектов, которые направлены на развитие отечественных решений.

«
Оставляет неясность и термин «преимущественное использование российского программного обеспечения и оборудования»: - в тексте документов не определены критерии соответствия такому показателю, что вызывает недопонимание среди владельцев КИИ. То же касается и возможности использования ПО и оборудования, которые не включены в реестры отечественного ПО и оборудования, - отметил Александр Буравцов.
»

Кроме того, по его словам, требования обязуют субъектов КИИ обеспечить возможность модернизации, гарантийной и технической поддержки развернутого ПО и оборудования российскими организациями, которые не находятся под прямым или косвенным иностранным контролем.

«
Такие меры приведут к созданию зарубежными вендорами независимых представительств на территории России, которые смогут поставлять иностранные решения под предлогом модернизации существующей технологической базы, - заявил Александр Буравцов.
»

Вместе с тем, по его мнению, разработанный порядок перехода можно назвать стандартным и он знаком участникам рынка.

«
К сожалению, в порядке перехода не предусмотрена этапность перевода КИИ на отечественные решения, документ требует проводить все работы одномоментно, - заметил Александр Буравцов.
»

По мнению эксперта Softline по защите критической информационной инфраструктуры Максима Прохорова, полностью перестроить инфраструктуру без ущерба качеству работы в короткие сроки, заявленные Минцифры, большинству предприятий будет затруднительно.

«
Многим организациям придется обновить до 80% инфраструктуры, причем, речь идет не только о средствах защиты информации, но и других функциональных решениях. Это требует больших трудозатрат, временных и финансовых вложений. Сложнее всего приходится промышленным предприятиям, в которых присутствует технологический сегмент, так как для них очень важно подобрать решения, которые не будут мешать работе АСУ ТП. К счастью, российские производители средств защиты информации давно обратили внимание на работу с данным сегментом и производят решения, которые хорошо интегрируются с функционирующими у заказчиков системами, - рассказал TAdviser Максим Прохоров.
»

Он также обратил внимание, работа по приведению ИБ-инфраструктуры в соответствие с ФЗ 187 в субъектах КИИ была начата два года назад, а промышленные предприятия еще ранее столкнулись с необходимостью выполнения приказа ФСТЭК №31.

«
На первоначальном этапе работа велась без оглядки на импортозамещение. Многие крупные организации успели реализовать этапы категорирования и проектирования систем информационной безопасности, а кто-то уже перешел к закупкам и внедрениям зарубежных решений, имеющих сертификацию ФСТЭК, либо прошедших испытания на совместимость. Сегодня эти заказчики будут вынуждены выполнить часть работ заново, - отметил Максим Прохоров.
»

На первоначальном этапе, по его словам, Softline рекомендует своим заказчикам произвести подробный аудит и составить план-график перехода на отечественное ПО и оборудование.

Директор департамента информационных технологий «Крок» Мария Уколова, говоря с TAdviser о сроках перехода субъектов на преимущественное использование российского ПО и оборудования, обратила внимание, что «похоже, срок 3 года стал своеобразным эталоном для правительства».

«
Такой же срок установлен, например, в приказах Минцифры № 334, 334, 486. Хотя надо признать, что до сих пор это был ориентир, к которому регулятор призывал стремиться. И в принципе для небольших организаций, думаю, реально осуществить такой переход. Для крупных же компаний этого времени явно недостаточно. За три года они успевали только развернуть тестовые стенды. И введение штрафов за нарушения требований к КИИ усложняет ситуацию, - заметила Мария Уколова.
»

Сложнее всего перейти на преимущественное использование российского ПО и оборудования будет тем субъектам, у которых значимыми объектами КИИ являются автоматизированные системы управления технологическими процессами, поскольку они имеют, как правило, длительный и сложный жизненный цикл. Прежде всего, по мнению Уколовой, это относится к таким отраслям как энергетика, топливно-энергетический комплекс, металлургическая и химическая промышленность, область атомной энергии.

«
Сложность может составить отсутствие экосистемы отечественного ПО. Мы видим, что многие решения создаются в отрыве друг от друга, что мешает их взаимной интеграции и бесконфликтной работе. Часто КИИ связана с собственной или заказной разработкой ПО, - рассказала Мария Уколова.
»

Кроме того, по ее словам, в рамках перехода на преимущественное использование российского программного обеспечения потребуется пересоздание соответствующих систем уже на отечественных платформах.

«
В связи с этим, думаю, в переходный период будет сложно избежать сопутствующих высоких затрат, растягивания сроков разработки, рисков сбоев и снижения производительности. Скорее всего, это особенно почувствует на себе банковский сектор. И очень хочется надеяться, что кроме кнута в виде штрафов для компаний будет приготовлен еще и пряник, например, в виде снижения налоговой нагрузки в зависимости от потраченных ресурсов, - отметила Мария Уколова.
»

Построение инфраструктуры и внедрение российского оборудования в существующую ИТ-систему, когда происходит замена старого на новое, по ее мнению, тоже может быть сопряжено с трудностями.

«
В компаниях зачастую установлено разное «железо», и оно требует перенастройки. Например, подключить сервера в общую сеть. Сложности часто вызывает и настройка систем мониторинга. Подчеркну, что в данном случае речь идет об Intel-архитектуре. Если для всего серверного оборудования КИИ потребуется переход на отечественные процессоры, то это дополнительно усложнит работу ИТ-службы, поскольку придется думать еще и о совместимости применяемых программных решений с новой процессорной архитектурой, - обратила внимание TAdviser Мария Уколова.
»

Она также добавила, что в России есть производители серверов и СХД, из которых «Крок» собирает боевые системы для клиентов.

«
И, основываясь на опыте работы, могу сказать, что, к сожалению, пока не для всех задач можно подобрать отечественное оборудование, - заявила TAdviser Мария Уколова.
»

Вместе с тем, она обратила внимание, что, так как большинство субъектов КИИ в соответствии с требованиями 187-ФЗ находятся на стадии проектирования систем безопасности объектов КИИ, им не должно составить большого труда сделать выбор в пользу средств защиты российского производства.

«
Сложнее дело обстоит с заменой компонентов, реализующих производственные функции объектов КИИ, поскольку эта работа требует довольно серьезного перепроектирования и модернизации функционирующих объектов, - уверена Мария Уколова.
»

Первый заместитель управляющего директора «Ланит-Интеграция» Олег Головко в разговоре с TAdviser отметил, что, на первый взгляд, сроки перехода субъектов КИИ на преимущественное использование российского ПО и оборудования вполне объективны.

«
Но если разобраться в деталях, получается следующая картина. У субъектов КИИ есть три года на реализацию требований. Компаниям, определенно, потребуется какое-то время на подготовку - сформировать план действий по переходу, бюджеты, соответствующие команды и т.д. При оптимистичном раскладе, это может занять около года для компаний сегмента СМБ, не говоря уже о крупных субъектах КИИ. Остается около двух лет на реализацию требований по переходу на отечественное ПО. Таких сроков может оказаться недостаточно. Вывод один - в случае вступления в силу настоящего указа президента времени на раскачку уже не будет, и «бежать» нужно уже сейчас, - отметил Олег Головко.
»

Минцифры откладывает перевод банков и ТЭК на российский софт на 2025 год

Министерство цифрового развития, связи и массовых коммуникаций РФ намерено отложить переход на преимущественно российское ПО для владельцев критической информационной инфраструктуры (КИИ) с 2021 года на 2024 год, а отечественное оборудование — с 2022 года на 2025 год. Об этом говорится в опубликованном ведомством проекте указа президента. На документ 2 ноября 2020 года ссылается РБК.

Предыдущий дедлайн, предложенный Минцифры, — 2021 год для внедрения софта и 2022-й — для оборудования. Владельцы КИИ просили перенести эти сроки.

Минцифры откладывает перевод банков и ТЭК на российское ПО на 2025 год

Старший вице-президент, руководитель департамента организации и управления ИТ ВТБ Сергей Безбогов назвал «позитивным сигналом» предложение о переносе сроков перехода на преимущественное использование отечественного ПО и оборудования для владельцев критической информационной инфраструктуры. Но, по его мнению, и в новые сроки реализовать такой масштабный проект — это «трудно осуществляемая задача».

Проект указа президента, говорится в пояснительной записке к нему, Минцифры подготовило в целях обеспечения технологической независимости критической информационной инфраструктуры. Для этого ее владельцы должны в приоритетном порядке использовать российские аналоги иностранного программного обеспечения и оборудования «в случае, если они позволяют по своим техническим характеристикам в полной мере» обеспечить безопасность объектов.

План перехода на преимущественно отечественное ПО и оборудование владельцы КИИ должны утвердить до 1 июля 2021 года. Использовать зарубежные программные и аппаратные продукты будет будет, если для них нет отечественных аналогов. Владелец критической информационной инфраструктуры должен будет согласовывать использование иностранного софта с Минцифрой, а оборудования — с Минпромторгом.[25]

ФСТЭК подписал указ об использовании отечественного ПО на объектах критической инфраструктуры

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) о внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ (КИИ) подписан и опубликован на официальном портале правовой информации. Об этом стало известно 16 сентября 2020 года.

Изменения направлены на использование в КИИ РФ преимущественно отечественного программного обеспечения и оборудования в целях обеспечения её технологической независимости и безопасности, а также создания условий для продвижения российской продукции.

Изменения касаются уточнения условий выбора программного обеспечения и оборудования, используемого в составе значимых объектов критической информационной инфраструктуры, а также порядка его принятия ‎к эксплуатации на таких объектах.

Приказ разработан во исполнение поручений президента по итогам специальной программы «Прямая линия с Владимиром Путиным» 20 июня 2019 года[26].

В Совете Федерации предложили госкорпорации и госкомпании отнести к объектам критической информационной инфраструктуры

В Совете Федерации предложили госкорпорации и госкомпании отнести к объектам критической информационной инфраструктуры. Об этом стало известно 3 сентября 2020 года.

В Правительство РФ направлены на рассмотрение поправки к федеральному закону «О безопасности критической информационной инфраструктуры». Если документ будет одобрен, то для компаний с государственным участием установят порядок перехода на отечественный софт и ИТ-оборудование, степень их необходимой локализации, а также случаи полных запретов на использование иностранных решений. При этом изменения в законодательство начнут действовать уже с 1 января 2021 года. На сентябрь 2020 года пакет поправок рассматривается Минпромторгом, Минкомсвязи и в Минюсте РФ.

Процесс импортозамещения в госкомпаниях стартовал, но регулируется он не законодательно, а директивами правительства. Так, до 1 января 2021 года предприятия должны согласовать планы замещения иностранного лицензионного программного обеспечения до 2024 года. К этому времени доля отечественного софта должна достигнуть 60%. Однако к концу 2019 года его доля составила только 10%.

Регулирование объектов критической информационной инфраструктуры, к которой относятся органы государственной власти, банки, объекты транспорта, связи, здравоохранения более жесткое. Перейти в них на преимущественное использование отечественного софта 3 июля 2019 года поручил президент Владимир Путин, а ФСТЭК предлагает полностью отказаться от иностранных ИТ-решений на подобных объектах.

Эксперты считают, что у госкомпаний возникнут трудности при переходе на ПО российского производства. Поскольку на рынке отечественного софта нередко отсутствуют продукты, которые полностью покрывали бы функциональность зарубежных программ[27].

ЦБ: переход банков на российское ПО нужно отложить до 2025 года

12 августа 2020 года стало известно о том, что ЦБ РФ согласился с российскими банками по поводу отсрочки перехода финансового сектора на российское ПО. Пока инициатива Минкомсвязи предполагает переход на отечественное ПО с 2021 года, на оборудование — с 2022-го.

«
Банк России рассмотрел обращение Ассоциации банков России по вопросу планируемого перехода на приоритетное использование российского ПО и ИТ-оборудования на объектах критической информационной инфраструктуры и планирует направить в Правительство Российской Федерации и Администрацию Президента Российской Федерации предложения по переносу сроков данного перехода на 4 года до 01.01.2025, — говорится в сообщении Ассоциация банков России (АБР).
»

ЦБ также попросит правительство и администрацию президента уточнить порядок перехода на преимущественное использование российского ПО и оборудования, отмечается в документе.

ЦБ РФ считает, что переход банков на российское ПО нужно отложить до 2025 года

В АБР утверждают, что ИТ-компаний не хватает мощностей для реализации масштабного одновременного перехода объектов критической информационной инфраструктуры на отечественный софт и оборудование. Производителям придется в условиях сжатых сроков осуществлять настройку и доработку ПО и оборудования под потребности кредитных организаций, что влечет за собой риски сбоев, ошибок и инцидентов кибербезопасности.

Одномоментное замещение всего ПО и оборудования «считается крайне опасным», так как также может привести к сбою в работе информационных систем, особенно у банков, чьи сервисы работают круглосуточно без выходных. Более того, замещение ИТ-оборудования или софта собственной разработки банки считают бессмысленным, так как они соответствуют всем требованиям информационной безопасности и позволяют предлагать клиентам услуги и продукты «по наименьшей цене в кратчайшие сроки», считают в ассоциации.[28]

ФСТЭК разработала стандарт мониторинга информационной безопасности КИИ

11 августа 2020 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) представила стандарт мониторинга информационной безопасности ИТ-систем, относящихся к критической информационной инфраструктуре (КИИ).

Как указано в пояснительной записке, необходимость создания национального стандарта ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» обусловлена необходимостью контроля ИБ сложных автоматизированных систем. Разработка стандарта предполагает следующие мероприятия:

  • анализ событий безопасности и иных данных мониторинга;
  • контроль защищенности информации;
  • анализ и оценка функционирования систем защиты информации;
  • периодический анализ изменения угроз безопасности данных в ИТ-системах, возникающих в ходе эксплуатации.

ФСТЭК представила стандарт мониторинга информационной безопасности КИИ

Отмечается, что стандарт не устанавливает требования к программным и программно-техническим средствам мониторинга информационной безопасности, а также к мероприятиям, связанным с выявлением компьютерных инцидентов и реагированием на них.

За счет разработки стандарта для кибербезопасности КИИ планируется:

  • создать условия для выполнения работ и оказания услуг по мониторингу киберзащиты ИТ-систем;
  • повысить эффективность применяемых мер по информационной безопасности субъектов КИИ и других систем;

В ФСТЭК добавили, что разработка национального стандарта ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» осуществляется в соответствии с решением заседании подкомиссии технического комитета по стандартизации «Защита информации» (ТК362) от 17 мая 2018 года.

Ранее в 2020 году вице-премьер Юрий Борисов поручил подготовить поправки к закону «О безопасности критической информационной инфраструктуры РФ», которые позволят поэтапно заменить использующееся на этих объектах иностранное оборудование на российские аналоги.[29]

Минкомсвязи РФ принимает заявки от регионов на получение субсидий на повышение безопасности КИИ

31 июля 2020 года стало известно, что Минкомсвязи РФ объявило о сборе заявок от регионов на получение в 2021 году субсидий на проекты по повышению безопасности КИИ.

Господдержка будет оказана из федерального бюджета бюджетам субъектов федерации для софинансирования мероприятий по обеспечению устойчивой работы объектов критической информационной инфраструктуры.

Финансирование проектов осуществляется в рамках составления проекта федерального бюджета на 2021 год и на плановый период 2022 и 2023 годов. Для участия в отборе регионам необходимо до 25 августа 2020 года направить в департамент информационной безопасности Минкомсвязи заявку, подготовленную в соответствии с правилами предоставления и распределения субсидий и порядком проведения конкурсного отбора, а также заполненную таблицу с информацией о проектах.

Правила предоставления грантовой поддержки утверждены Постановлением Правительства РФ № 1497 от 22 ноября 2019 года[30].

Переход банковского сектора на российское ПО оценивается в 700 млрд рублей

24 июля 2020 года стало известно о том, что переход банковского сектора на российское программное обеспечение может обойтись ему более чем в 700 млрд рублей. А расходы отдельных банков в зависимости от их размеров и масштабов обновления систем могут составить от 90 млн до 150 млрд рублей. Такую оценку совместно с ИТ-компаниями составила Ассоциация банков России (АБР). Документ направлен в комитет Госдумы по финансовому рынку.

Как пишет «Коммерсантъ» со ссылкой на это письмо, лишь в 1 из 17 классов ПО доля российского софта «превышает 50% использования». В остальных случаях преобладает иностранное ПО, причем в 10 классах его доля составляет более 90%. На собственное ПО в банках приходится в среднем менее 1,5%.

В АБР оценили переход на российское ПО в 700 млрд рублей

АБР оценила затраты банковской системы на переход на отечественное ПО в размере 5–7% собственных средств. В ассоциации считают, что, если прибегнуть к таким тратам, это скажется на объемах кредитования – они уменьшаться на 5-7 трлн рублей.

«
Перевод сложного широкофункционального программного комплекса с одного системного стека на другой (смена СУБД, операционной системы) — это проект сроком на два-три года, — комментирует председатель правления ЦФТ Андрей Висящев.
»

Он добавил, что после ввода нового ПО могут возникнуть проблемы с его производительностью, совместимостью, масштабированием и надежностью. Также на разработку аналогов используемого банками ПО потребуется от $1,5 млн до $133,4 млн.

Вице-президент АБР Алексей Войлуков считает, что для перехода на российское ПО и оборудование банкам нужно около 5-7 лет. АБР предлагает отложить введение этих требований до 2027-2028 гг.

В ВТБ подчеркивают, что предлагаемый порядок перехода на отечественное ПО целесообразен только в отношении значимых объектов критической информационной структуры.[31]

Ассоциация банков России просит отложить на 4 года переход на отечественное ПО

В середине июня 2020 года стало известно о письме, которое направила Ассоциация банков России (АБР) премьер-министру Михаилу Мишустину. В нём говорится о просьбе отложить на четыре года перевод критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение.

По словам банкиров, разработанные Минкомсвязью требования «не учитывают риски масштабных перебоев функционирования объектов КИИ», а некоторые пункты «в отдельных случаях практически невыполнимы».

Банкиры предупредили, что многие пункты в требованиях по критической информационной инфраструктуре выглядят не то что слишком сложными, а технически невыполнимыми

Согласно проекту указа президента и постановлениям правительства, разработанным Минкомсвязью, владельцы критической информационной инфраструктуры (КИИ) будут обязаны использовать российский софт с 1 января 2021 года, а российское оборудование — с 1 января 2022-го.

В банке ВТБ заметили, что за полгода невозможно провести анализ, тестирование, закупку и внедрение новых решений без угрозы серьезных проблем. В Совкомбанке указали, что нынешнее оборудование и ПО выбрано как наиболее оптимальное и интегрировано в бизнес-процессы. На это долгие годы уходила существенная доля прибыли.

По оценке АБР, для замещения всего ПО и ИТ-оборудования банкам разово придется потратить более 700 млрд рублей, а с учетом сроков эта сумма может еще больше возрасти. И даже при этом, как говорится в письме, «средние сроки замещения с учетом непрерывности деятельности и постоянной транзакционной нагрузки кредитных организаций составят не менее трех лет».

Переход российских банков на отечественный софт может потребовать 5-7 лет, считает представитель уполномоченного при президенте РФ по защите прав предпринимателей в сфере интернета Дмитрий Мариничев.

По его словам, для бесперебойного функционирования банковской системы разработчикам отечественного ПО предстоит решить вопрос не трансформации, а плавного перетекания одной системы в другую.[32]

Финансовый сектор выступил против перехода на российское ПО

8 июня 2020 года стало известно о том, что Ассоциация участников рынка электронных денег и денежных переводов (АЭД) направила Минкомсвязи письмо, в котором выступила против перехода финансовых организаций на российское программное обеспечение.

В АЭД считают, что на миграцию на отечественный софт финансовые организации должны будут направить 30% или более собственных средств, что включает расходы на лицензии и оборудование, обучение сотрудников и расходы на интеграцию. А это негативно скажется на прочности банковского сектора в условиях падения прибыли.

Минкомсвязи просят доработать процедуру перехода на отечественное ПО

Участники АЭД отметили, что предлагаемые Минкомсвязи сроки по переходу на отечественное ПО с 2021 года и оборудование с 2022 года необходимо скорректировать, принимая во внимание «реальный уровень рисков для разных объектов инфраструктуры, а также потенциальное влияние новых требований на стабильность оказания финансовых услуг».

Свои предложения авторы обращения аргументируют отсутствием у некоторых широко используемых программных продуктов отечественных аналогов, поскольку у российских разработчиков нет стимулов для создания платных приложений. По словам участников АЭД, кредитные организации используют ПО с открытым исходным кодом, которое распространяется бесплатно, но при этом является импортным.

Как пишет «Коммерсантъ», перенести сроки перехода просит и Национальный совет финансового рынка: по предварительным оценкам, замена ПО и оборудования в средних по величине организациях повлечет расходы в несколько миллиардов рублей, в крупных — в несколько десятков миллиардов.

Партнер группы консультирования в ИТ KPMG в России и СНГ Оксана Борисова считает нереальными сроки по переводу банков на российское ПО, учитывая, что тестирование перенос данных обычно занимает от одного года до нескольких лет.[33]

Минкомсвязи предложило сроки перехода критической инфраструктуры на отечественное ПО и оборудование

20 мая 2020 года стало известно о том, что Минкомсвязи предлагает обязать владельцев критической информационной инфраструктуры (КИИ), перейти на преимущественное использование российского софта с 2021 года, а оборудования — с 1 января 2022-го. Такие сроки указаны в проекте указа президента, которое ведомство направило на согласование в Минпромторг, ФСБ и ФСТЭК.

Согласно документу, на который ссылается РБК, владельцам КИИ предлагается разрешить использовать только софт из реестров российских и произведенных в ЕАЭС программ, и только оборудование, упомянутое в реестре российской радиоэлектронной продукции, за исключением случаев, когда у зарубежной продукции нет отечественных аналогов.

Банкам и промышленности дадут полгода для перехода на российский софт

В случае сохранения зарубежного софта и оборудования за его техподдержку и модернизацию должны будут будут отвечать российские организации, не находящиеся под прямым или косвенным контролем иностранных компаний или граждан.

Власти должны утвердить порядок перехода на отечественное оборудование и ПО до сентября 2020 года.

В аппарате вице-премьера Юрия Борисова, курирующего оборонную промышленность, отметили, что поддерживают инициативу Минкомсвязи.

«
Сам документ пока не видели, – сообщил РБК представитель вице-премьера.
»

Опрошенные изданием эксперты сошлись во мнении, что для перехода на отечественное ПО и оборудование нужно не полгода, а несколько лет. Впрочем, уход с иностранного софта и «железа» не должен стать сюрпризом для владельцев КИИ — это обсуждается давно, отметил представитель «Крока» Андрей Заикин.

По мнению исполнительного директора компании «Акронис Инфозащита» Елены Бочеровой, принятие проекта в текущем виде «может означать качественный поворот в программе импортозамещения, так как выйдет за пределы существующих критериев, которые затрагивают преимущественно госорганы и некоторые госкомпании, на целые секторы экономики».[34]

«Элвис-Плюс» предложил защищенное решение для удаленного доступа к объектам КИИ

12 мая 2020 года компания ЭЛВИС-ПЛЮС представила защищенное решение для удаленного доступа к объектам критической информационной инфраструктуры, которое включает в себя:

  • аппаратный тонкий клиент АПК «ЗАСТАВА-ТК», осуществляющий подключение к сети объекта КИИ с использованием терминального доступа и VDI с высокой степенью защищённости;
  • смарт-карты/USB-токены ESMART Token ГОСТ производства компании ISBC для двухфакторной аутентификации и хранения ключей/сертификатов пользователей;
  • систему контроля действий администраторов и пользователей на основе решений CyberArk Privileged Access Security Solution или IT-Bastion СКДПУ, которая обеспечивает полный контроль и мониторинг удаленных подключений при выполнении задач по администрированию и контролю функционирования объектов КИИ. Подробнее здесь.

Astra Linux разработала инструкции по организации безопасной «удаленки» для КИИ средствами Astra Linux SE

27 марта 2020 года компания Astra Linux сообщила, что в связи с распространением коронавируса разработала инструкции, которые помогут средствами ОС специального назначения Astra Linux Special Edition (ОС СН) релиз "Смоленск" настроить дистанционный режим работы и обеспечить безопасность объектов КИИ в соответствии с рекомендациями ФСТЭК России. Подробнее здесь.

ФСТЭК поясняет, как обеспечить безопасность удаленной работы для работников субъектов КИИ

26 марта 2020 года TAdviser стало известно, что Федеральная служба по техническому и экспортному контролю опубликовала ряд рекомендаций[35] по обеспечению безопасности субъектов критической информационной инфраструктуры в условиях пандемии коронавируса COVID-19. Эти рекомендации целиком связаны с удаленной работой сотрудников организаций, относящихся к КИИ.

Федеральная служба по техническому и экспортному контролю России

Как справедливо указывается в рекомендациях, удаленный доступ работников к объектам критической информационной инфраструктуры создает некоторые риски. В частности, возникает угрозы несанкционированного доступа и воздействием на объекты, относящиеся к КИИ.

В публикации ФСТЭК прямо говорится о недопустимости в дистанционном режиме предоставлять удаленный доступ для какого-либо управления режимами функционирования промышленного или технологического оборудования автоматизированных систем управления производственными и технологическими процессами объектов критической информационной инфраструктуры.

В остальном рекомендовано централизованно выделить работникам, уходящим на «удаленку», средства вычислительной техники, через которые они смогут получать доступ к рабочей информации, предварительно проведя их инвентаризацию, снабдив антивирусными средствами и обеспечив идентификацию их MAC-адресов на серверах объектов КИИ.

Доступ к рабочим ресурсам с таких устройств должен быть реализован по методу «белого списка» и только через VPN-соединения. Обеспечивать работникам доступ с личных устройств не рекомендовано. Мало того, на рабочих СВТ предлагается заблокировать установку постороннего ПО.

Также ФСТЭК советует определить перечень информации и информационных ресурсов (программ, томов, каталогов, файлов), расположенных на серверах объектов критической информационной инфраструктуры, к которым в принципе будет предоставляться удаленный доступ и назначить минимально необходимые права и привилегии пользователям, уходящим на удаленную работу.

Настоятельно рекомендуется исключить возможность эксплуатации удаленных средств вычислительной техники посторонними лицами; реализовать двухфакторную аутентификацию работникам удаленных СВТ так, чтобы один из факторов обеспечивался «устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ».

Среди прочих рекомендаций - формирование отдельного домена для работников, управление которым должно осуществляться с серверов субъекта критической информационной инфраструктуры, и присвоение каждому удаленному СВТ сетевого (доменного) имени; а также обеспечение мониторинга безопасности объектов КИИ с ведением журналов регистрации действий работников удаленных СВТ и их анализа, блокировка сеанса удаленного доступа, если пользователь неактивен более установленного времени.

Рекомендовано также - правда, без какой-либо конкретики, - обеспечить возможность оперативного реагирования и принятия мер защиты информации при возникновении компьютерных инцидентов.

«
Все приведенные рекомендации ФСТЭК по обеспечению безопасности удаленной работы, с одной стороны, не новы, с другой - универсальны. В сущности, это компиляция проверенных и в России, и на Западе best practices. Они вполне пригодны к использованию не только в период пандемии и не только в отношении объектов критической информационной инфраструктуры. В идеале этим рекомендациям должен следовать любой бизнес, в котором хотя бы часть сотрудников работает на удалении. Кроме того, субъектам критической информационной инфраструктуры «рекомендуется руководствоваться рекомендациями Национального координационного центра по компьютерным инцидентам и центров мониторинга информационной безопасности, имеющих соответствующие лицензии ФСТЭК России, по вопросам компьютерных атак в условиях распространения коронавирусной инфекции, в том числе размещенными на веб-ресурсе safe-surf.ru,
считает Олег Галушкин, генеральный директор компании SEC Consult Services
»

Аналогичные рекомендации ФСТЭК направила в федеральные органы исполнительной власти.

Путин поручил ФСБ уделить особое внимание защите критической ИТ-инфраструктуры

Президент России Владимир Путин поручил ФСБ уделить особое внимание защите критической ИТ-инфраструктуры. Об этом глава государства рассказал на расширенном заседании коллегии ведомства, которое состоялось 20 февраля 2020 года.

В частности, Путин попросил ФСБ сосредоточиться на защите компьютерных систем органов власти, государственных электронных сервисов, операторов связи, банковских организаций и крупных компаний, расширять возможности государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Путин обязал ФСБ уделить особое внимание защите ИТ-систем органов власти
«
Сейчас в ряде стран уже созданы специальные центры для проведения таких акций, разрабатываются стратегии превентивного применения киберсредств. По мере бурного развития цифровых технологий мощность такого информационного оружия, безусловно, будет только нарастать. Нам нужно это не просто учитывать, а соответствующим образом, с опережением строить свою работу по защите интересов России, — сообщил президент.
»

Он также отметил, что в руки ФСБ стоит передать контроль обеспечения безопасности в процессе развития технологий 5G и спутниковых коммуникаций.

Кроме того, Владимир Путин обратил внимание на важность укрепления авторитет России как надёжного международного партнёра в области информационной безопасности, прежде всего за счёт развития сотрудничества с другими странами и организациями. Заметный вклад в этом должен внести Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который был создан в 2018 году, подчеркнул он.

Помимо прочего, российский лидер отметил востребованность ресурсов «международного банка данных по противодействию терроризму, к которому в прошлом году подключились еще семь спецслужб иностранных государств и один специализированный орган международной организации».[36]

2019

Минэк предлагает перевести банки, нефтяные и энергообъекты на российское ПО и оборудование

1 ноября 2019 года стало известно о предложении Минэкономразвития запретить использовать иностранное программное обеспечение и оборудование в системах критической информационной инфраструктуры (КИИ), включая сети связи банков, транспортных, нефтяных и энергических объектов.

Об этом говорится в письме заместителя министра экономики Азера Талыбова, направленном в коллегию Военно-промышленной комиссии России, Федеральную службу по техническому и экспортному контролю (ФСТЭК) и Минкомсвязи.

Власти хотят обязать банки и ТЭК использовать российские ИТ-решения

Талыбов предложил дополнить закон «О безопасности КИИ» нормой, обязывающей владельцев использовать только российское оборудование и софт, а также запретить иностранным компаниям «обеспечивать взаимодействие» с сетями и ИТ-системами критической инфраструктуры. 

Замминистра также заявил о необходимости закрепить на законодательном уровне положение о том, что у юридических лиц, обеспечивающих взаимодействие сетей и систем критической инфраструктуры, конечными бенефициарами должны быть граждане России без двойного гражданства. Аналогичные требования, как ожидается, будут касаться и индивидуальных предпринимателей, взаимодействующих с объектами КИИ.

«
Такой подход позволит снизить уровень доступа со стороны иностранных государств и иностранных граждан при обслуживании и развитии объектов критической информационной инфраструктуры, — считает он.
»

Консультант по информационной безопасности Cisco Алексей Лукацкий говорит, что, по данным ФСБ и ФСТЭК, в России функционирует около 1 млн объектов КИИ, каждый из которых состоит из десятков или сотен компьютеров или иных типов устройств. По словам экспертов, у российских производителей нет мощностей для замены иностранного ПО и оборудования на таком количестве объектов.[37]

Данные о кибератаках на критические объекты в РФ утекают за рубеж

Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК» со ссылкой на материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК), которая в свою очередь ссылается на ФСБ. Подробнее здесь.

ФСТЭК и ФСБ введут ответственность за нарушение требований к критической ИТ-инфраструктуре России

На Федеральном портале проектов нормативных правовых 26 марта 2019 года размещено уведомление о начале разработки проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)». Подробнее здесь.

Строительство "суверенного Рунета" подорожало на 10 млрд рублей

Реализация проекта суверенного российского интернета затребует больших инвестиций, чем заявляли авторы инициативы. Согласно опубликованному на сайте АНО «Цифровая экономика» обновленному Паспорту федерального проекта «Информационная безопасность», расходы на этот проект вырастут на 10 млрд руб. по сравнению с ранее названной суммой[38].

Публикация обновленного Паспорта – это первая официальная оценка расходов на безопасность российского интернета. Ранее эта информация в свободном доступе отсутствовала, и впервые о весьма приблизительных суммах стало известно лишь в первых числах февраля 2019 г. из заявления одного из авторов инициативы сенатора Андрея Клишаса. По его словам, сумма вложений в проект превысила бы 20 млрд руб., без более точных цифр.

По новым подсчетам, затраты на обеспечение безопасности Рунета превысят 30 млрд руб. (около $500 млн по курсу ЦБ на 26 марта 2019 г.). Всего же на реализацию проектов, перечисленных в новой версии Паспорта, потребуется около 50 млрд руб.

ФСТЭК предлагает запретить обработку за рубежом информации, относящейся к КИИ России

Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) 6 марта 2019 года опубликовала на Федеральном портале проектов нормативных правовых актов проект изменений в приказ №239 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Подробнее здесь.

Элементы критической гражданской инфраструктуры РФ разместили в тестовой виртуальной машине за 5 тыс руб

Отопительная система целого региона в России оказалась в прямой зависимости от функционирования одной тестовой виртуальной машины, арендованной за копейки у крупного облачного провайдера. Именно такой вывод следует из публикации в социальной сети Facebook, сделанной 28 января 2019 года директором по развитию компании LanCloud Сергея Ерина.

«
Когда у тебя в облаке взяли в тест виртуалочку за 5000р., разместили в ней систему управления котельными, а даже телефон суппорта не записали, потом нашли тебя в соц. сетях, и говорят, что виртуалочка что-то зависла, а у тебя сегодня есть все шансы попасть на первый канал в прайм-тайм как виновника замерзания населения целого региона, — написал Ерин, приложив скриншот переписки с представителем некоей организации, отвечающей, судя по всему, за работу теплосетей на большой территории.
»

Скриншот фрагмента переписки Сергея Ерина в Facebook с неназванным клиентом

Собеседник Ерина, имя и юзерпик которого на скриншоте тщательно замаскированы, просит срочно обеспечить работоспособность сервера, поскольку в нем «стоят программы которые отвечают за работоспособность котельных во многих населенных пунктах» (пунктуация авторская), и сетует на то, что если на «центральный диспетчерский пункт не поступят оперативные данные с сервера», то последствия будут «очень плохими»: ущерб составит миллионы и десятки миллионов рублей.[39]

В разговоре с корреспондентом TAdviser Сергей Ерин категорически отказался называть клиента, с которым он общался, сославшись на соглашение о конфиденциальности и соображения этического характера.

Он также отметил, что всю информацию можно воспринимать только как «очень условно-достоверную».

Но если исходить из того, что неназванный клиент действительно установил в тестовую виртуальную среду системы управления котельными, то речь здесь идет как минимум о критическом нарушении самых базовых правил безопасности критических систем.

«
Первое, что необходимо отметить, что LanCloud несет ответственность исключительно в рамках пользовательского соглашения, если таковое имело место, а там точно не прописана возможность использования тестовых серверов для критически значимых объектов инфраструктуры, — считает Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — А все остальные вопросы связаны с некомпетентностью или патологическим желанием сэкономить. Скорее всего, ситуация не уникальна, так как реальных механизмов отслеживания «инициатив на местах» не существует, а до момента возникновения проблем никто ничего и не узнает, и наш отечественный «авось» может скрывать множество аналогичных ситуаций.
»

Публикация Ерина набрала существенное количество горьких или издевательских комментариев в адрес «эффективных менеджеров», принимающих подобные решения.

На следующий день после публикации TAdviser, Сергей Ерин сообщил изданию, что:

  • "Скриншот с обозначенной беседой был сделан около 2 лет назад, и в данный момент всё описанное не актуально. Чтобы никто не паниковал и не пытался проецировать эти события на какие-либо текущие проблемы".

  • "Нужно понимать, что слова Заказчика на скриншоте никак невозможно проверить, т.к. мы как сервис-провайдер, не обладаем информацией о том, что реально размещается внутри виртуальных машин клиентов. И с высокой долей вероятности клиент просто мог «придумать» данные аргументы, чтобы приоритизировать выполнение своей заявки".

  • "Ну и последнее, чтобы так же не было спекуляций, из вашего скриншота на сайте уберите часть текста «а у тебя сегодня есть все шансы попасть на первый канал в прайм-тайм, как виновника замерзания населения целого региона.» - т.к. я вам сообщаю, что сам Клиент это не писал, это моё личное саркастическое заключение, сделанное, исходя из описанной клиентом критичности проблемы. Т.к. данная часть текста читается неоднозначно, и может быть воспринята, как слова клиента в мой адрес. Собственно из скриншота переписки с клиентом видно, что он этого не писал".

  • Свою публикацию в соцсети Facebook он удалил "только потому, что после публикации новости, вокруг данного поста возникли спекуляции, что какие-то регионы прямо сейчас где-то замерзают, по причине описанного события, и люди обращаются ко мне за разъяснениями и поиском виновных, хотя я к этому не имею никакого отношения. Также хотелось бы отметить, что цель поста была не в том, чтобы привлечь внимание общественности к проблеме (которой вероятнее всего не существует), а скорее показать, какие потенциальные риски и ответственность могут возникать у нас, как у облачного провайдера, даже с клиентами на такие небольшие суммы, как 5000 р./мес".

2018

Зафиксировано 4,3 млрд кибератак на КИИ России

В 2018 году выявлено 4,3 млрд кибератак на критическую информационную инфраструктуру (КИИ) РФ, об этом стало известно 12 декабря 2018 года от заместителя директора Национального координационного центра по компьютерным инцидентам Николай Мурашов. Эксперт отметил, что только на информационную инфраструктуру российского Чемпионата мира по футболу было совершено более 25 млн вредоносных воздействий.

В декабре 2017 года ФСБ в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) создала техническую инфраструктуру Национального координационного центра по компьютерным инцидентам (НКЦКИ).

Представители ФСТЭК заявляли, что в 2019 г. планируется перейти к этапу построения системы безопасности, в рамках мер, предписанных законом 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". Заместитель директора ФСТЭК Виталий Лютиков рассказал о том, что идет инвентаризация и категорирование объектов, подпадающих под действие 187-ФЗ, и процедуру прошли пока лишь 500 объектов, еще а на 25 тыс. ведутся соответствующие работы. По его оценке, из 13 отраслей наиболее активны энергетика, ТЭК, оборонно-промышленный комплекс и медицина, наименее - телеком и банки. В 2019 году процесс категорирования планировали завершить и перейти к следующему этапу - построению системы безопасности.

По словам Николая Мурашова, в последнее время компьютерные атаки, их источники и последствия часто обсуждают в зарубежных СМИ. Западные медиа активно закрепляют в общественном мнении тезис: за большинством атак стоит Российская Федерация, она вмешивается в политические процессы других стран, в том числе и в выборные. При этом обвинения не подтверждаются никакими достоверными техническими данными, которые могут быть проанализированы экспертами. Также, по мнению Николая Мурашова, иностранные источники информации предпочитают не вспоминать о том, что информационное пространство России является неотъемлемой частью глобального и, как следствие, разделяет все его проблемы. Информационное пространство Российской Федерации является целью изощренных и хорошо организованных компьютерных атак. Методы и средства для подготовки их постоянно совершенствуются. Эффективное противодействие данным атакам возможно только в рамках совместных усилий всех заинтересованных сторон. Прежде всего национальных уполномоченных органов в области их обнаружения и предупреждения


По словам Николая Мурашова, во многих странах, в том числе в США, Великобритании и Франции, в многомиллиардный бизнес вовлечено более 40 крупных фирм, которые занимаются разработкой вредоносных программ.

«
Количество кибератак на объекты критической информационной инфраструктуры увеличилось. Это связано, с одной стороны, с различным уровнем защищенности объектов, а с другой - с доступностью информации, когда инструменты и сведения для совершения атак можно найти в открытом доступе.
Андрей Юршев, ведущий эксперт ГК InfoWatch
»

«
В ближайшие годы мы будем наблюдать рост и разнообразие угроз. Это обусловлено двумя факторами. Во-первых, увеличением количества систем автоматизации и, как следствие, каналов управления и передачи информации внутри технологического объекта и связывающих объект с другими объектами и с внешним миром, в том числе через интернет, а также увеличением разнообразия средств автоматизации на предприятии, что увеличивает поверхность атаки и сложность защиты промышленных предприятий. Во-вторых, увеличение количества организаций и лиц, имеющих непосредственный или удаленный доступ к системам автоматизации, что расширяет возможности злоумышленников при организации и проведении атак.
»

«
Вскоре мы увидим атаки с политической окраской - как операции кибершпионажа, так и саботаж. В последнем случае приоритетная цель атакующих - промышленные предприятия и объекты критической инфраструктуры. С большой долей вероятности возможен взлом облачных сервисов. Не исключаем, что в 2019 г. жертвой станет крупный CERT или SOC-центр.
Виталий Земских, технический директор Eset Russia[40]
»

Как в поисках заработка атакуют критическую инфраструктуру России

Несколько организаций, относящихся к критической инфраструктуре России, подверглись серии кибератак, сообщил 11 декабря 2018 года интернет-ресурс Security Week. И если поначалу эксперты по безопасности, изучавшие их, заподозрили, что речь идёт о киберкампании, организованной какой-либо недружественной спецслужбой, то дальнейшие исследования показали, что с наибольшей вероятностью злоумышленники действовали из сугубо коммерческих интересов.

Фото: kaspersky.ru

Объектами атак стали компания "Роснефть" и два десятка других крупных российских организаций, в том числе относящихся к таким стратегическим отраслям, как нефтепереработка, газовая и химическая промышленность, сельское хозяйство и т.д. Злоумышленники также пытались атаковать несколько крупных российских бирж.

Для проведения атак создавались сайты, которые были почти неотличимы от легитимных веб-ресурсов, принадлежавших вышеперечисленным организациям. Доменные имена подделок могли отличаться от подлинных всего на одну букву. С поддельных сайтов распространялись документы, содержавшие вредоносный код. Как установили эксперты, речь шла о вариации вредоносной программы RedControle, которая открывает бэкдор в целевой системе и позволяет выводить конфиденциальные сведения.

Исследованием атак занималась компания Cylance. Её эксперты обратили внимание на то, что большая часть пострадавших организаций так или иначе контролируются российским правительством, и предположили, что речь идёт о политически-мотивированной киберкампании. Однако чем дольше проводились исследования, тем больше специалисты Cylance убеждались в том, что речь идёт об "обычном" криминале, не имеющем политической подоплёки.

Насколько успешны были атаки, Cylance судить не берётся, поскольку ни одна из атакованных организаций не является клиентом фирмы. Однако эксперты выяснили, что кампания длится как минимум три года.

Скорее всего, речь идёт о форме мошенничества под названием Business Email Compromise (компрометация деловой электронной переписки). Злоумышленники сначала собирают данные о конкретных лицах с помощью кейлоггеров, затем проводят разведку среди работников этой организации, с которыми контактирует первая жертва, а после пытаются заманить новые жертвы на свои поддельные сайты, чтобы собрать дополнительную информацию и реквизиты доступа.

«
В процессе злоумышленники, осуществившие компрометацию десятков почтовых аккаунтов, могут заходить в них и от имени их реальных владельцев менять банковские реквизиты или какими-то ещё способами переводить финансовые средства на контролируемые ими счета, — пояснил директор по исследованию угроз Cylance Кевин Левилли (Kevin Levilli).
»

Интересно, что эксперты Cylance обнаружили свидетельства тому, что ранее те же самые злоумышленники атаковали пользователей игровых платформ, в частности, Steam. Во всех случаях хакеры использовали одно и то же вредоносное ПО, практически без изменений.

Ещё год назад на создание сайтов-клонов обратила внимание российская компания Group-IB. Соответствующий материал был опубликован Forbes.[41] При этом эксперты Cylance отмечают, что знакомы с этой публикацией, и что и они, и Group-IB исследовали одну и ту же киберкриминальную операцию. Которая, кстати, скорее всего продолжается.[42]

«
Вполне вероятно, что сама по себе данная кампания является финансово-мотивированной, — считает Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". — Но нельзя исключать и того, что данными, собранными в результате этой операции, могут позднее воспользоваться спецслужбы недружественных стран для проведения уже вполне реальных "кибервоенных" атак. Спецслужбы всех стран так или иначе взаимодействуют с хакерами, и вряд ли будет ошибкой предположить, что и в данном случае у злоумышленников были свои кураторы в соответствующих структурах.
»

Подробное техническое описание кампании доступно на сайте Cylance.[43]

Операторов КИИ обяжут информировать ФСБ о кибератаках

Как стало известно в марте 2018 года, ФСБ России планирует обязать владельцев предприятий, относящихся к критической инфраструктуре, информировать Службу о направленных на них кибератаках.[44] На Федеральном портале проектов нормативных правовых актов опубликован проект приказа "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" и приложение к нему, описывающее саму процедуру. Согласно этому документу, субъекты КИИ обязаны будут сообщать в ФСБ "обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ".

Субъекты критической инфраструктуры обязаны будут незамедлительно передавать сведения о кибератаке в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Создание такого центра было анонсировано ещё в 2015 году. В конце 2017 года был опубликован проект приказа директора ФСБ о создании этого центра, но окончательно этот документ ещё не принят. Его проектный вариант доступен на сайте www.garant.ru.[45]

НКЦКИ будет призван координировать все мероприятия по реагированию на компьютерные инциденты и непосредственно участвовать в таких мероприятиях. Через него будет осуществляться обмен информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами других стран, а также международными неправительственными организациями и экспертами по информационной безопасности.

Кроме того, центр будет осуществлять информирование субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В проекте приказа отмечается, что в тех случаях, когда компьютерный инцидент связан с функционированием объекта КИИ, осуществляющего деятельность в банковской сфере и в иных сферах финансового рынка, одновременно с информированием ФСБ России о таком компьютерном инциденте также информируется Центральный банк Российской Федерации.

Приказ предписывает субъектам КИИ подготовку плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, который включает: технические характеристики и состав значимых объектов КИИ; события (условия), при наступлении которых осуществляется ввод в действие данного плана; мероприятия по реагированию и ликвидации последствий атак, время, отведённое на их реализацию, и силы субъекта КИИ, ответственные за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

Минимум раз в год на мощностях субъекта КИИ будут проводиться тренировки по отработке этого плана с последующим внесением в них необходимых корректив.

Субъектам КИИ также предписывается вместе с НКЦКИ разработать и согласовать с 8 центром ФСБ России специальный регламент, описывающий условия, при которых к мероприятиям по реагированию на компьютерные инциденты будут привлекаться должностные лица ФСБ.

«
Необходимость привлекать экспертов Федеральной службы безопасности к мероприятиям по защите объектов критической инфраструктуры при кибератаках вряд ли кто-то станет оспаривать. Но соответствующие процедуры должны быть жёстко регламентированы, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEQ (ранее SEC Consult Services). — Удивительно, что соответствующие нормативные документы не были приняты ранее, учитывая, что дискуссии об уязвимости критической инфраструктуры во всём мире ведутся уже несколько лет, и имели место реальные инциденты с многомиллионым ущербом.
»

2017

Операторы раскритиковали законопроект об инфраструктуре Рунета

"Большая четверка" операторов – "ВымпелКом", "МегаФон", МТС и Tele2 – направили обращение в адрес главы Минкомсвязи Николая Никифорова. В нем они высказали свои оценки законопроекту о защите критической инфраструктуры Рунета, пишет в октябре 2017 года "Коммерсантъ".

Компании выразили опасения, что документ может лишить их иностранных акционеров с долей более 20%. Также они сообщили, что информация о том, что через зарубежные точки обмена проходит 60% российского трафика, неверна. По их информации, реальная доля – около 1%, поскольку стоимость пропуска трафика через зарубежные маршруты высока. В итоге авторам письма не ясно, почему "точки обмена трафиком оцениваются как объекты критической инфраструктуры".

В Минкомсвязи изданию сообщили, что министерство ведет "конструктивный диалог" с операторами по данному вопросу. Однако с негативным отзывом на законопроект также готово выступить Минэкономразвития, где сообщили, что документ пока что проходит оценку регулирующего воздействия.

Минфин раскритиковал законопроект о критической инфраструктуре Рунета

Минфин направил отрицательный отзыв на законопроект Минкомсвязи, который предполагает меры по обеспечению безопасности критической инфраструктуры российского сегмента интернета в случае внешнего воздействия. Как пишет РБК, основной причиной отказа стало отсутствие точной информации об объемах и источниках финансирования.

"Представленное финансово-экономическое обоснование не содержит сведений об объеме средств за регистрацию [доменов] и их части, планируемой на ГИС "Интернет", что не позволяет в полной мере оценить расходы на ее создание и поддержание и дать оценку финансовых последствий принятия законопроекта для бюджетов бюджетной системы России", - говорится в тексте отзыва.

По данным издания, в Минфине предложили доработать законопроект, представив финансово-экономическое обоснование. По оценкам наблюдателей, затраты на реализацию инициативы Минкомсвязи могут составить порядка 1,5 млрд рублей, плюс ежегодные расходы в размере около 40 млн рублей.

Что грозит за неправомерное воздействие на критическую ИТ-инфраструктуру России

С 1 января 2018 года в России вступает в силу закон «О безопасности критической информационной инфраструктуры Российской Федерации» и принятые одновременно с ним изменения в УК, описывающие наказание за нанесение ущерба критической инфраструктуре страны. Подробнее здесь.

Совет Федерации одобрил введение уголовной ответственности за атаки на критическую ИТ-инфраструктуру

19 июля стало известно о том, что Совет Федерации одобрил закон «О безопасности критической информационной инфраструктуры», разработанный Федеральной службой безопасности (ФСБ) и внесенный в Госдуму Правительством в декабре 2016 г. Документ вступит в силу с начала 2018 г.[46]

Фото: amurmedia.ru

Закон вводит классификацию объектов критической информационной инфраструктуры и предполагает создание реестра таких объектов, при этом определяет права и обязанности как владельцев объектов, так и органов, которые эти объекты защищают. Орган, на который будет возложена ответственность за обеспечение безопасности инфраструктуры, пока не назначен.

Документ также предполагает создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информацоинные ресурсы России (ГосСОПКА), которая обеспечит сбор и обмен информацией о компьютерных атаках.

Одновременно с одобрением закона «О безопасности критической информационной инфраструктуры РФ», были утверждены проистекающие из него поправки в законы «О связи», «О государственной тайне», «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», а также поправки в Уголовный кодекс РФ. Так, в главе 28 Уголовного кодекса «Преступления в сфере компьютерной информации» появится статья 274.1, которая предусматривает наказание за вред, причиненный объектам критической информационной инфраструктуры.

Госдума разрешила сажать хакеров на 10 лет за атаки на КИИ

В июле 2017 года Нижняя палата российского парламента приняла в третьем, заключительном, чтении законопроект, вводящий уголовную ответственность за компьютерные атаки на критическую информационную инфраструктуру.[47]

Законопроект предусматривает, что в Уголовный кодекс будет внесена статья «Неправомерное воздействие на критическую информационную инфраструктуру РФ», максимальное наказание по которой составит 10 лет лишения свободы с запретом занимать определенные должности или заниматься определенной деятельностью.

Документ предстоит одобрить Совету Федерации и подписать Президенту РФ. Ожидается, что он вступит в силу с 1 января 2018 года.

Уголовное наказание за кибератаки — часть пакета законопроектов о критической информационной инфраструктуре, внесенного правительством в Госдуму в декабре 2016 года. Пакет законопроектов, одобренный нижней палатой российского парламента, в частности, вводит понятие «критической информационной инфраструктуры» и устанавливает полномочия госорганов по обеспечению ее безопасности.

2013: Указ президента Путина о создании системы защиты информационных ресурсов

В январе 2013 г. президент Владимир Путин подписал указ о создании в России системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, расположенные в стране и в дипломатических представительствах и консульских учреждениях России за рубежом.

Ее ключевыми задачами, в соответствии с указом президента, должно стать прогнозирование ситуаций в области обеспечения [[информационной безопасности, обеспечение взаимодействия владельцев ИТ-ресурсов при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, с операторами связи и другими организациями, осуществляющими деятельность по защите информации. В список задач системы также входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов.

Организацию работ по созданию государственной анти-хакерской системы Путин поручил ФСБ.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Ключевые предприятия перейдут на отечественный софт и IT-оборудование к 2030 году
  2. Минцифры может включить локализацию в оценку независимости КИИ
  3. Минцифры готовит законопроект о принципах определения критичности инфраструктуры
  4. Правительство решило закрыть лазейку для закупок иностранного ПО
  5. Михаил Мишустин дал поручения по итогам стратегической сессии об импортозамещении программного обеспечения в отраслях
  6. Стратегическая сессия об импортозамещении программного обеспечения в отраслях
  7. Импортозамещение пойдет по плану
  8. Минпромторг предлагает спланировать переход КИИ
  9. Путин поддержал запрет зарубежного ПО на негосударственной информационной инфраструктуре
  10. Указ Президента Российской Федерации от 30.03.2022 № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации"
  11. An update on Ukraine, Russia and Belarus
  12. Проект импортозамещения вызвал критику в администрации президента
  13. Перевод КИИ на российское «железо» и ПО может повлечь «необоснованные расходы» бизнеса и государства
  14. Шохин оценил в ₽1 трлн затраты бизнеса из-за перехода на российский софт Он попросил освободить банки и мобильных операторов от требований такой локализации
  15. В России вводятся штрафы за нарушение защиты критической ИТ-инфраструктуры
  16. Минцифры хочет на год ускорить переход на российское ПО для критической инфраструктуры
  17. Минцифры доработало проект постановления о требованиях к ПО и оборудованию для объектов КИИ
  18. Объектам КИИ прописали отечественное
  19. Импортозамещение просят притормозить. Порядок перехода на российские IT-решения может быть снова пересмотрен
  20. Банки просят передать ЦБ контроль над переходом на отечественный софт
  21. Импортозамещению дали три года. Переход на отечественное ПО для критически важных IT-систем отсрочен
  22. Касперская попросила президента ускорить перевод банков на российское ПО Это нужно для обеспечения нацбезопасности, но затраты на переход превысят ₽700 млрд
  23. Банки попросили ЦБ продлить срок перехода на российское ПО и оборудование Затраты на выполнение таких требований они оценивают в ₽700 млрд
  24. Указ
  25. Банки и ТЭК обяжут перейти на российское оборудование и софт к 2025 году
  26. ФСТЭК подписал указ об использовании отечественного ПО на объектах критической инфраструктуры
  27. В Совете Федерации предложили госкорпорации и госкомпании отнести к объектам критической информационной инфраструктуры
  28. Банк России поддержал предложения Ассоциации по переносу сроков перехода на преимущественное использование российского ПО и ИТ-оборудования
  29. Пояснительная записка к проекту ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения»
  30. Минкомсвязи РФ объявило о сборе заявок от регионов на получение в 2021 году субсидий на проекты по повышению безопасности КИИ
  31. Банкирам дорог отечественный софт. Переход на него в банках оценили в 150 млрд руб
  32. К инфраструктуре отнеслись критически
  33. Вопросы философтии
  34. Промышленности и банкам дадут полгода для перехода на отечественное ПО
  35. Рекомендации gо обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры
  36. Президент поручил ФСБ уделить особое внимание защите критической информационной инфраструктуры
  37. Минэк предложил перевести банки и ТЭК на российский софт и оборудование
  38. России впервые назвали затраты на суверенный интернет. Сумма на 10 млрд больше, чем ожидалась
  39. Публикация директора по развитию LanCloud Сергея Ерина в Facebook от 28 января 2019 года
  40. КИИ атаковали 4,3 млрд раз за год
  41. Атака клонов: как работают схемы с фейковыми сайтами «Роснефти» и других крупных компаний
  42. Russian Critical Infrastructure Targeted by Profit-Driven Cybercriminals
  43. Poking the Bear: Three-Year Campaign Targets Russian Critical Infrastructure
  44. Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
  45. Проект Приказа ФСБ России "О Национальном координационном центре по компьютерным инцидентам" (подготовлен ФСБ России 26.12.2017)
  46. Совет Федерации ввел уголовное наказание за атаки на критическую ИТ-инфраструктуру
  47. Госдума разрешила сажать хакеров на 10 лет