Подбор кадров и переход на отечественное программное обеспечение — основные сложности, с которыми сталкиваются уральцы при реализации №187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)». Об этом рассказали участники конференции BIS Summit в Екатеринбурге. В качестве решения они предложили предоставлять госфинансирование отечественным разработчикам и стимулировать экспорт программных решений на госуровне.
Фото: Анатолий Жданов, Коммерсантъ / купить фото
Закон №187 «О безопасности критической информационной инфраструктуры» вступил в силу 1 января 2018 года. К объектам КИИ в нем отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности. Владельцы критической инфраструктуры должны подключить свои объекты к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданной ФСБ. Также они должны составить перечень объектов КИИ и отнести их к одной из трех категорий значимости, исходя из того, какой ущерб стране и людям будет нанесен в случае атаки на нее. В результате будет создан реестр значимых объектов. Согласно ст.274.1 УК РФ, если атака нанесла вред объектам КИИ, злоумышленникам будет грозить уголовная ответственность. Сейчас КИИ находится в стадии категорирования. Оно должно завершиться в 2019 году, после чего начнется построение системы безопасности.
По данным Федеральной службы по техническому и экспортному контролю (ФСТЭК), в УрФО более 170 субъектов (владельцев) КИИ, из которых 59 — органы власти и их учреждения. Объектов (информационных систем) на Урале — порядка 1,4 тыс., однако только 15 внесены в реестр.
В частности, участники рынка испытывают трудности с категорированием. Заместитель начальника отдела охраны и режима группы «Синара» Олег Китаев в качестве примера привел Уральский дизель-моторный завод. «Машиностроительная сфера в законе не указана. В перечень реестра оборонных предприятий завод не входит, но есть гособоронзаказ. Возникает вопрос: подпадаем мы под действие закона или нет»,— рассказал он. По его словам, ФСТЭК не дала однозначного ответа, однако завод на всякий случай начал работу по категорированию объектов на предприятии. Сложности возникают и у органов власти. «Есть сферы, которые мы регулируем, но не управляем ими, то есть не являемся субъектом. Например, нефтегазовая отрасль, на которую мы воздействуем только косвенно»,— отметил заместитель директора центра информационных технологий Тюменской области Игорь Козодеев. В правительстве Свердловской области полагают, что категорирование можно «отточить процедурно», руководствуясь практикой применения закона. «Кроме того, ФСТЭК обладает информацией о количестве потенциальных КИИ и может дать региону рекомендации по их категорированию»,— полагает заместитель директора департамента информатизации и связи региона Павел Борисов. Участники беседы также не исключили ситуаций, когда категории объектов будут занижаться субъектами специально, чтобы снизить ответственность.
Другой проблемой назвали кадровый вопрос: закон требует от предприятий введения должности специалиста, отвечающего за безопасность КИИ. По словам участников рынка, ИТ-специалистов много, однако их квалификация «весьма условна». «В госструктурах проблема еще более жесткая из-за бюджетных ограничений»,— добавил Игорь Козодеев. Вице-президент по информационным технологиям Русской медной компании (РМК) Сергей Шувалов предложил в качестве решения двухэтапное развитие: «Часть компетенций на предприятии мы будем обеспечивать сами, а часть отдавать специализированным компаниям».
Участников рынка также волнует вопрос отечественного ПО, введения которого требует регулятор. По мнению промышленников, российские разработчики не успевают за их требованиями. «Им не хватает клиентов, количества кейсов использования их продуктов и требовательного потребителя, а следовательно — денег»,— указал вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов. По различным оценкам, рынок ПО в РФ оценивается в $3–5 млрд. Использование зарубежного «софта» несет риски, связанные с остановкой работы при санкционных ограничениях. «Государством предусмотрены два способа решения: прямые инвестиции в отечественных разработчиков и поддержка экспорта»,— отметила президент группы компаний InfoWatch Наталья Касперская.