Власти решат, к каким системам предъявить повышенные требования безопасности
Критические информсистемы
Правительство будет определять объекты, которые будут отнесены к критической информационной инфраструктуре (КИИ) для каждой отрасли и сроки перехода на отечественное ПО. Такое право содержится в законопроекте о безопасности КИИ, который был разработан Минцифры.
Сейчас, согласно Постановлению Правительства №127 от 8 февраля 2018 г., субъекты КИИ могут сами категорировать значимость объектов. Многие компании просто занижают категорию систем или вовсе не относят себя ни к какой категории, рассказал изданию бизнес-консультант по кибербезопасности Positive Technologies Алексей Лукацкий.
Законопроект Минцифры прошел согласование с федеральными органами власти, рассказали «Коммерсанту» в министерстве. Там отметили, что документ будет внесен в Госдуму не позже осенней сессии. Как пояснил изданию собеседник, объектами КИИ станут сами информационные системы, которые используются в разных отраслях.
Под субъектами КИИ понимаются организации и индивидуальные предприниматели, владеющие или арендующие информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети, функционирующие в важнейших для страны сферах. Это здравоохранение, наука, транспорт, связь, финансовая сфера, энергетика, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленность и топливно-энергетический комплекс.
Зачем нужны изменения
Глава Минцифры Максут Шадаев заявил о подготовке законопроекта о безопасности КИИ в ноябре 2022 г. Он объяснил его необходимость тем, что компании сами не хотят категорировать информсистемы.
Дело в том, что если системы принадлежат к объектам КИИ, то организация обязана соблюдать ряд требований по обеспечению безопасности таких систем, а также по импортозамещению. В марте 2022 г. Президент России Владимир Путин подписал указ, согласно которому госорганам и госкомпаниям запрещается использовать иностранное ПО на объектах КИИ с 1 января 2025 г.
По мнению советника гендиректора по юридическим вопросам группы компаний «Цифра» Андрея Яцкова, в будущем может быть создан специальные реестр решений, которые рекомендуется использовать в компаниях из различных отраслей.
Какие системы могут сюда попасть
Как объяснил изданию консультант по кибербезопасности Aktiv.Consulting Александр Моисеев, в различных отраслях, компании из которых относятся к субъектам КИИ, есть ряд устоявшихся решений. К таковым могут относиться автоматизированные системы управления технологическим процессом (АСУТП), а также системы, которые управляют оборудованием и др. Нарушение работы таких систем может сказаться на жизни и здоровье людей, а также на экологии.
В банковской отрасли к таким решениям относятся автоматизированная банковская система, процессинг и системы дистанционного банковского обслуживания, поясняет директор департамента трансформации и операционного контроля информационных технологий ПСБ Игорь Панов.
По словам опрошенных «Коммерсантом» экспертов, законопроект Минцифры облегчит компаниям задачу по категорированию систем, а аудиторам — по проверке категорирования.