Журнал "Information Security/ Информационная безопасность" #6, 2021

ции, используемым на объектах крити- ческой информационной инфраструкту- ры (далее по тексту – Требования). Порядок перехода предусматривает следующие обязанности для субъекта КИИ: а) провести аудит существующего и/или планируемого к созданию объекта КИИ, определить его текущие показате- ли и характеристики; б) провести анализ наличия аналогов используемого (планируемого к исполь- зованию) иностранного ПО и/или обору- дования, текущих сроков амортизации используемого субъектом КИИ обору- дования и срока действия прав на использование ПО в отношении исполь- зуемого ПО и/или оборудования; в) направить на согласование пере- чень используемого и/или планируемого к использованию иностранного ПО и/или оборудования с кратким обоснованием предъявляемых требований: l в отношении ПО (за исключением банковской сферы и иных сфер финан- сового рынка) – в Минцифры России; l в отношении оборудования (за исклю- чением банковской сферы и иных сфер финансового рынка) – в Минпромторг России; l в отношении ПО, оборудования, используемых в банковской сфере и в иных сферах финансового рынка, – в Банк России; г) при наличии (в случае необходимо- сти) согласования Минцифры России, Минпромторга России и/или Банка Рос- сии определить перечень потенциаль- ного российского ПО и оборудования для дальнейшего перехода на его пре- имущественное использование в своей деятельности; д) с учетом сроков перехода на пре- имущественное использование россий- ского ПО и оборудования, установленных проектом Указа, в течение 180 дней с момента принятия проекта акта подго- товить и утвердить план перехода на преимущественное использование рос- сийского ПО и оборудования; е) в течение 30 рабочих дней с момента утверждения направить копию такого плана в Минцифры России, Минпромторг России, Банк России при необходимости. Проблемные моменты возникают с пер- вого же пункта ("а") порядка перехода: как провести аудит планируемого к созданию объекта КИИ? Скорее всего, имеется в виду не аудит объекта КИИ, а аудит про- ектной документации на него. В части аудита существующего объекта КИИ, пожалуй, проблем возникнуть не должно, необходимая информация должна содер- жаться в сведениях о категорировании. Выполнение пункта "б" тоже может вызвать определенный набор трудно- стей: как оценить, что российский аналог способен полноценно заменить зару- бежный? Очевидно, что только тестиро- вание (пилот) может однозначно пока- зать возможности продукта, так как зачастую заявленный в маркетинговой документации функционал продукта не соответствует действительности. В части пункта "в" непонятно, что дол- жен сделать субъект КИИ, если получит отказ в согласовании, а также непонятны критерии, по которым должен согласо- вываться перечень иностранного ПО. Остальные пункты в целом понятны, однако нет механизма внесения изме- нений в планы перехода на преимуще- ственное использование отечественного ПО и/или оборудования (что также было отмечено в рамках оценки регулирую- щего воздействия). Требований к оборудованию и ПО, по сути, два: 1. Наличие в реестрах: Единый реестр российских программ для электронных вычислительных машин и баз данных (далее – РПО) или Единый реестр про- грамм для электронных вычислительных машин и баз данных из государств – членов Евразийского экономического союза (далее – РЕП) и/или Единый реестр российской радиоэлектронной продукции (далее – РРП). 2. При использовании ПО, телеком- муникационного оборудования и/или радиоэлектронной продукции, не вклю- ченных в РПО (или РЕП) и/или в РРП, должна быть возможность модерниза- ции, гарантийного обслуживания и тех- нической поддержки ПО, телекоммуни- кационного оборудования и/или радио- электронной продукции российскими организациями. При этом для соответствия требова- ниям достаточно выполнить любое из этих условий. В целом, как видится, особых трудностей выполнение данных требований вызвать не должно. Однако проектом предусмотрено установление дополнительных требований со стороны ФСБ России и ФСТЭК России к обору- дованию и ПО, используемому на значи- мых объектах КИИ, и пока непонятно, что это будут за требования. Помимо проблем регулирования пере- хода на преимущественное использова- ние российского ПО, имеются и объ- ективные трудности, связанные с отсут- ствием необходимых отечественных ана- логов. Если в части системного и при- кладного обеспечения информационных систем есть достаточно хорошие рос- сийские продукты, на которые уже пере- шли многие государственные структуры, то, например, в части прикладного ПО автоматизированных систем управления таких аналогов может не быть. Еще большей проблемой является импорто- замещение радиоэлектронной продук- ции, так как большинство компонентов такой продукции не являются россий- скими и, как видится, еще долгое время не будут таковыми. Ну и в заключение упомяну такой немаловажный аспект, отмечаемый мно- гими экспертами отрасли, как дорого- визна российских аналогов. Понятно, что она вызвана во многом объективны- ми причинами, но с позиции субъекта КИИ это бремя дополнительных затрат. Кроме того, принятие обязательных тре- бований может привести к увеличению спроса и, соответственно, цены на рос- сийские аналоги. l • 17 Защита аСУ тП и IoT www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Защита КИИ – задача номер один Вице-премьер правительства РФЮрий Борисов сообщил 1 , что за первую половину 2021 г. количество хакерских атак на критическую информационную инфраструктуру, к которой относятся сети связи и информационные системы госорга- нов, топливно-энергетического комплекса, транспортных, финансовых, телекоммуникационных и ряда других компа- ний, превысило общий объем 2020 г. В действительности ситуация, вероятно, еще острее, ведь в России не ведется строгая статистика кибератак. Традиция российской деловой среды такова, что организации пред- почитают не обнародовать ни сами факты хакерских атак, ни их последствия для деятельности организаций. Наблюдая тенденцию последних лет, можно с уверенностью спрогно- зировать, что в будущем году число атак снова увеличится. Чтобы снизить риски, необходимо срочно переводить критическую информационную инфраструктуру на россий- ское оборудование и программное обеспечение. При этом важно, чтобы они были созданы не на заимствованных, а на отечественных технологиях. Процессор должен быть построен на архитектуре, разработанной российскими инженерами, а операционная система – развиваться на российском технологически независимом репозитории "Сизиф". Только такой подход обеспечит реальную технологическую независимость и безопасность критической информационной инфраструктуры. 1 https://www.rbc.ru/technology_and_media/13/12/2021/61b377649a7947d59106869f Григорий Сизоненко, генеральный директор компании ИВК Комментарий эксперта