Инфраструктура на самоопределении

Минцифры разработало постановление об отраслевых особенностях отнесения объектов связи к критической информационной инфраструктуре (КИИ). Согласно документу, операторы связи сами будут выявлять и определять такие объекты в зависимости от масштаба возможных последствий при возникновении компьютерного инцидента. Исполнение новых функций потребует от операторов дополнительно 6 млрд рублей расходов в течение шести лет.

Выйти из полноэкранного режима

Развернуть на весь экран

Операторы связи сами будут определять объекты критической информационной инфраструктуры (КИИ) на объектах связи, следует из проекта постановления, опубликованного 16 мая на портале regulation.gov. Выявлять объекты КИИ и присваивать им категории значимости будут специальные комиссии, которые составят из сотрудников компаний. Также у компаний остается право не выявить у себя такие объекты.

В числе прочего компании будут передавать в ФСТЭК информацию о ПО и ПАК, которые используются на объектах КИИ, а также средствах обеспечения безопасности объектов. Каждый из объектов может быть отнесен к категории в зависимости от масштаба возможных последствий при возникновении компьютерного инцидента. Требования могут вступит в силу с 1 сентября 2025 года.

В сводном отчете к проекту постановления говорится, что расходы операторов связи на реализацию его положений составят более 6 млрд руб. на шесть лет. Источник “Ъ” на телеком-рынке оценивает затраты компаний в дополнительные «сотни миллионов рублей на оператора в год». В документе также указано, что сейчас отсутствует нормативное закрепление особенностей категорирования объектов КИИ в сфере связи, а «имеются лишь общие положения», в соответствии с которыми операторы определяют их.

Мнения операторов связи о новом регулировании разделились. В «МегаФоне» уверяют, что нововведения не скажутся на их работе, потому что как субъект КИИ они уже выполняют требования. «Государство совершенствует защиту критической инфраструктуры. Новые требования детализированно отражают отраслевую специфику при категорировании»,— говорят в «МегаФоне».

Однако в Т2 объясняют, что предлагаемые правки вносят «принципиальное изменение в алгоритм определения объектов КИИ». По словам представителя компании, существующий порядок позволяет категорировать и обеспечивать безопасность КИИ «на должном уровне». «Он предполагает рассмотрение критических процессов организации от определения недопустимых событий, в новом же варианте предлагается просто выбирать объекты КИИ из списка типовых объектов». При этом список КИИ может быть существенно расширен, объясняют в компании, что может усложнить выполнение требований по безопасности. Новый подход потребует серьезных затрат на категорирование и обеспечение безопасности «новых» объектов КИИ, заключают в Т2. В «Вымпелкоме», МТС, «Ростелекоме» отказались от комментариев.

Собеседник “Ъ”, знакомый с обсуждением документа, рассказывает, что сейчас бизнес «минимально» определяет у себя КИИ, так как у него «нет желания попадать под дополнительную ответственность и требование об отечественности ПО». «Проблема и в том, что понятия в законодательстве определены довольно размыто и не всегда понятно, следует ли какую-то систему относить к КИИ»,— добавляет управляющий директор по работе с государственными органами Positive Technologies Игорь Алексеев.

В Минцифры не считают, что операторы связи могут злоупотреблять положениями постановления и не определять как КИИ часть своей инфраструктуры, рассказали “Ъ” в министерстве. При этом там считают, что указанная оценка расходов операторов рассчитана на шесть лет и на всех действующих операторов и «на каждого оператора придется не слишком существенная сумма».

Алексей Жабин, Татьяна Исакова