Эксперты АРПП «Отечественный софт» поделились своим мнением о предлагаемых поправках в закон о КИИ.
В Госдуму внесен законопроект, разработанный Минцифры России, согласно которому Правительство и ЦБ смогут определять перечень объектов критической информационной инфраструктуры, которые с 1 марта 2025 года должны будут обязательно перейти на российские программные решения.
Изменения предполагаются в федеральный закон от 26 июля 2017 г. №187 «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно корректировкам, Правительство и Центробанк смогут устанавливать требования к программному обеспечению и радиоэлектронной продукции, используемым на КИИ.
Как отмечается, проект федерального закона направлен на обеспечение технологической независимости и безопасности критической информационной инфраструктуры РФ в условиях введенных в отношении России санкций и при наличии рисков нарушения работоспособности объектов критической информационной инфраструктуры по причине введения таких санкций.
Дмитрий Хомутов, директор компании Ideco, называет важным шагом законопроект о переходе на российское программное обеспечение для субъектов КИИ. Это позволит повысить кибербезопасность данных предприятий в стратегически важных секторах экономики.
Только за 2023 год количество кибератак на критические инфраструктуры увеличилось на 21% в сравнении с аналогичным периодом 2022 года.
Дмитрий Хомутов видит в поправках дополнительный драйвер перехода на отечественные системы, несмотря на длительность и дороговизну процедуры. Это добавит работы ИТ-компаниям.
— Во-первых, необходимо заменить все оборудование. Только за 2023 год комплектующие, составляющие порядка 30-40% от цены продукта, возросли в цене на 15-20%. На конечной стоимости оснащения это сказывается примерно на 10%. Во-вторых, необходимо переобучить сотрудников – на это также уходит много времени и средств.
Количество систем, которые станут объектами КИИ, увеличится на 2-3 раза после вступления закона в силу. Это объясняется тем, что ранее большинство потенциальных субъектов КИИ не занимались самостоятельным категорированием, но с появлением закона им придется внедрять соответствующие системы.
Дмитрий Сорокин, технический директор компании-разработчика «Базис» отмечает, что законопроект коснется как прикладного, так и системного ПО, например, решений для виртуализации.
Для успешного перехода КИИ на отечественное программное обеспечение, оно должно быть основано на собственной кодовой базе, разрабатываться в соответствии с принципами безопасной разработки и обладать соответствующими сертификатами безопасности, такими как сертификаты ФСТЭК.
Виктор Точилин, начальник научно-производственного центра №2 АО «НППКТ», считает, что поправки до разработки соответствующих документов в закон ничего нового не привносят, а влияние на деятельность субъектов КИИ в итоге будет зависеть от качества подготовки подзаконных актов.
По его мнению, к работе над подобным законопроектом важно привлечение экспертного сообщества. Например, с учетом опыта АО «НППКТ» в предлагаемых изменениях есть спорные тенденции:
- Предприятия финансового рынка отчасти ставятся в несколько привилегированное положение. Хотя спектр используемого ими оборудования и ПО достаточно ограничен по сравнению, например, со спектром оборудования станочного и конвейерного парка предприятий промышленности. То же самое можно сказать и о решаемых объектами КИИ финансовой сферы задачах.
- При разработке требований к ПО и оборудованию необходимо учитывать действующие нормативные документы ФСТЭК России по защите информации на объектах КИИ. Но почему-то ФСТЭК России планируется привлекать только для подготовки изменений в 127ое постановление.
- В настоящий момент, когда определение перечня и категорирование объектов КИИ целиком возложено на само предприятие, у них есть возможность выстроить процессы деятельности таким образом, чтобы минимизировать затраты на выполнение требований законодательства в сфере КИИ. Предлагаемые поправки имеют тенденцию отказа от достаточно передового подхода по формированию перечня объектов КИИ на основе критичности производственных процессов организации. Введение перечней типовых объектов КИИ может в итоге привести к «палочной» системе категорирования и мониторинга.
Алексей Учакин, директор департамента инфраструктуры EdgeЦентр, так же полагает что поправки не изменят практически ничего в текущем ИТ-ландшафте, так как:
- Во-первых, до сих пор непонятно, что считать отечественным ПО. Реестр не спасает - там масса ПО, которое из себя представляет опенсорс с «перебитыми шильдиками».
- Во-вторых, в некоторых случаях просто невозможно заменить одно ПО на другое без потери в производительности функциональности. Соответственно, требуется доработка, изменения, дозакупка оборудования и другое. Невозможно за два года создать новый Оракл, а за три — новый Интел.
— Это правильный шаг, который поможет понять, кому и какие системы следует переводить на отечественное ПО в первую очередь. Так что будем надеяться, что поправки несколько облегчат жизнь субъектам КИИ в их непростом пути.
Ренат Лашин, исполнительный директор АРПП «Отечественный софт» согласен, что изменения в законе снизят риски информационной безопасности и создадут дополнительный спрос на решения российских разработчиков ПО.
— Практика последних лет показала, что заказчики занижали класс категорирования защищенности своих информационных систем и экономили, таким образом, деньги за счет выполнения более простых требований по безопасности. Это создавало угрозы для самих информационных систем, за счет того, что уровень их защищенности снижался.
Мы рассчитываем на то, что в процессе реализации этого закона и подзаконных актов сроки перехода субъектов КИИ на отечественные решения будут максимально сжатыми.
В целом, по мнению экспертов Ассоциации, внесение поправок в закон о КИИ станет дополнительной стимуляцией перехода на отечественное ПО.
Возврат к списку