Напомним, закон о безопасности КИИ вступил в силу 1 января 2018 года. К объектам критической инфраструктуры он относит информационные системы и информационно-телекоммуникационные сети госорганов, а также автоматизированные системы управления технологическими процессами в оборонной индустрии, в здравоохранении, связи, на транспорте, в кредитно-финансовой сфере, энергетике и в ряде отраслей промышленности (топливной, атомной, ракетно-космической, металлургической, химической, горнодобывающей). Кроме того, в перечень объектов КИИ включены организации в сфере науки. Наконец, документ распределяет объекты КИИ на категории по социальной, политической, экономической значимости, а также "значимости для обеспечения обороноспособности, безопасности государства и правопорядка".
По закону владельцы объектов КИИ обязаны отнести их к одной из этих категорий и подключить к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак ГосСОПКА, созданной ФСБ. В эту систему они должны передавать информацию обо всех инцидентах на объектах. Законом введена уголовная ответственность для сотрудников компаний, управляющих объектами КИИ, за нарушение правил эксплуатации, которое повлечет вред для критической инфраструктуры, а также ужесточено наказание для хакеров, которые решат атаковать объекты КИИ.
Как отмечает РБК, порядок перехода на отечественное оборудование и ПО, а также требования к ним до 1 сентября должно утвердить правительство. Проект соответствующего постановления кабмина гласит, что владельцы объектов КИИ смогут использовать только софт из реестра отечественных и произведенных в ЕАЭС программ и оборудование, внесенное в реестр российской радиоэлектронной продукции. В Минкомсвязи хотят обязать владельцев объектов КИИ провести аудит софта и оборудования, а затем согласовать использование иностранных продуктов с ведомствами. Речь идет о продуктах, не имеющих отечественных аналогов. При этом за техподдержку и модернизацию такого софта и оборудования должны будут отвечать российские организации, не находящиеся под прямым или косвенным контролем иностранных компаний или физлиц.
По словам эксперта по информационной безопасности Cisco Systems Алексея Лукацкого, в настоящее время требования безопасности ФСТЭК не распространяются на владельцев незначимых объектов КИИ. "Сейчас к таким объектам относится даже ломбард, потому что он работает в кредитно-финансовой сфере. И в случае принятия предложенного проекта они, например, тоже должны будут использовать только отечественное оборудование и ПО", - пояснил он, отметив, что Минкомсвязи хочет установить для всех одинаковые требования и очень сжатые сроки перехода на отечественные софт и оборудование.
Лукацкий также добавил, что многие непрерывные производства, включая нефтедобывающие или сталелитейные предприятия, не смогут перейти на использование отечественных продуктов в ближайшие пять-десять лет. Это объясняется тем, что остановить производство для замены оборудования невозможно до конца его жизненного цикла, который может составлять до 20 лет.
"Кроме того, неизвестно, как на производство повлияет такая замена. Даже если бы в России было необходимое оборудование и ПО, его нужно было бы предварительно протестировать, не вносит ли оно задержки и ошибки", - подытожил Лукацкий.
В свою очередь председатель совета Ассоциации электронной аппаратуры и приборов Светлана Апполонова отметила, что в документах Минкомсвязи не уточняется, какие софт и оборудования могут считаться отечественными аналогами иностранных продуктов, поэтому не исключено, что при проведении аудита компании будут устанавливать требования к оборудованию, под которые будут подходить только конкретные иностранные решения. Кроме того, Апполонова обратила внимание на тот факт, что в Минкомсвязи не указали, за чей счет должен проходить переход на отечественные продукты. Лукацкий ранее говорил, что в одном крупном госбанке оценивали расходы на замещение иностранного ПО в 400 млрд рублей.