Критическая информационная инфраструктура России
Критическая информационная инфраструктура (КИИ) — совокупность информационных систем и телекоммуникационных сетей, критически важных для работы ключевых сфер жизнедеятельности государства и общества: здравоохранения, промышленности, связи, транспорта, энергетики, финансового сектора и городского хозяйства. В данной статье рассматриваются регуляторные и практические аспекты, связанные с КИИ в России.
Под критической информационной инфраструктурой РФ (КИИ) подразумевается совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов РФ и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также ИТ-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.
Безопасность критической информационной инфраструктуры
Основная статья: Безопасность критической информационной инфраструктуры РФ
Уголовные дела о неправомерном воздействии на КИИ РФ
Основная статья: Уголовные дела о неправомерном воздействии на критическую информационную инфраструктуру РФ
Критическая инфраструктура в здравоохранении
Основная статья: Критическая инфраструктура в здравоохранении
Система ГосСОПКА
Основная статья: Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
2024
Неуспевших перейти на российское ПО владельцев КИИ заставят сделать это по форвардному контракту
Министр цифрового развития России Максут Шадаев выступил 7 ноября 2024 года с заявлением о том, что владельцев значимых объектов критической информационной инфраструктуры (КИИ), не выполнивших требования указа президента №166 о переходе на отечественное программное обеспечение, обяжут заключать форвардные контракты на разработку необходимых решений.
Как передает «Интерфакс», министр подчеркнул, что отсутствие российских аналогов или финансирования не является основанием для бездействия.
Берите разработчика, в которого вы верите, подписывайте с ним форвардный контракт, что если он сделает решение, которое будет соответствовать всем вашим требованиям, то вы обязательно его купите, — заявил Шадаев. |
Министерство готово оказывать финансовую поддержку таким проектам в рамках софинансирования нового национального проекта. Итоги по переводу объектов КИИ на отечественное программное обеспечение будут подведены в начале 2025 года.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
Для решения проблемы уклонения от категорирования объектов КИИ в Государственную Думу внесен законопроект, прошедший первое чтение. Документ предоставит отраслевым регуляторам право устанавливать классификацию типовых объектов КИИ для своей индустрии с индивидуальными сроками перехода на российские решения — от трех до пяти лет.
К субъектам КИИ относятся государственные органы и российские юридические лица, владеющие информационными системами в сфере здравоохранения, науки, транспорта, связи, энергетики, финансового сектора, оборонной и химической промышленности. В 2022 году были приняты указы президента №166 и №250, запрещающие использование импортных средств защиты информации из недружественных стран на объектах КИИ.
С марта 2023 года были снижены пороговые значения ущерба бюджету при киберинцидентах на объектах КИИ, а также расширен перечень субъектов КИИ за счет включения финансовых организаций. После внесения изменений в законодательство количество объектов КИИ значительно увеличилось по сравнению с предыдущей оценкой в 50 тысяч информационных систем.[1]
Росстандарт утвердил программу стандартизации ИТ-оборудования для КИИ
Федеральное агентство по техническому регулированию и метрологии (Росстандарт) совместно с Государственной корпорацией по атомной энергии «Росатом» утвердили Перспективную программу стандартизации программно-аппаратного обеспечения критической информационной инфраструктуры (КИИ) на 2024-2028 годы. Документ был подписан в октябре 2024 года в Санкт-Петербурге главой Росстандарта Антоном Шалаевым и директором по технологическому развитию «Росатома» Андреем Шевченко.
Как сообщает Росстандарт, программа направлена на формирование нормативно-технической базы для обеспечения технологической независимости, функциональности, надежности и защищенности КИИ на всех этапах жизненного цикла — от разработки до вывода из эксплуатации.
Перспективная программа предусматривает разработку 139 документов по стандартизации в различных областях, включая программно-аппаратные комплексы, автоматизированные системы управления, радиоэлектронную продукцию, электронную компонентную базу и прикладные инновационные решения для КИИ.
Глава Росстандарта Антон Шалаев отметил, что реализация программы позволит эффективно использовать преимущества стандартизации для решения задач при применении доверенных программно-аппаратных комплексов на значимых объектах КИИ, обеспечивая надлежащее качество и конкурентоспособность отечественной продукции.
Необходимость разработки данной программы обусловлена вступлением в силу с 1 января 2018 года Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон накладывает ряд обязательств на организации и учреждения, являющиеся субъектами критической инфраструктуры.
К субъектам КИИ относятся компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.[2]
«Росатом», «Газпром нефть» и «Роскосмос» попросили Минцифры отложить переход на российское ПО
В октябре 2024 года стало известно о том, что крупнейшие российские промышленные компании обратились к министерству цифрового развития с просьбой предоставить дополнительное время для перевода объектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение. Ассоциация крупнейших потребителей программного обеспечения и оборудования (АКП ПОО), в которую входят «Росатом», «Газпром нефть», «Роскосмос» и другие ведущие компании, направила соответствующее обращение министру цифрового развития Максуту Шадаеву.
Как передают «Ведомости», в письме ассоциации указывается на необходимость установления индивидуальных сроков перехода на российский софт для объектов КИИ. Компании аргументируют свою просьбу тем, что процессы реорганизации и присоединения юридических лиц могут привести к различиям в требованиях по срокам перехода для разных структур внутри одной компании.
Представитель ассоциации пояснил, что в действующем законе «О безопасности КИИ Российской Федерации» не урегулированы сроки перехода субъектов КИИ на российское ПО в случае реорганизации. Например, при слиянии двух юридических лиц из разных сфер, для которых установлены различные сроки перехода, срок для вновь созданного юридического лица не начинает исчисляться заново.
Компании-члены АКП ПОО управляют масштабными и сложными системами, требующими надежного и безотказного функционирования. Многие из них используют специализированные технологии, которые разрабатывались и адаптировались в течение десятилетий. Переход на новое ПО, особенно если оно не имеет полной функциональной совместимости, может создать риски для внутренних операций.
В обращении также отмечается, что многие объекты КИИ используют импортное оборудование, тесно интегрированное с иностранным ПО. Полный переход на отечественное ПО может потребовать замены оборудования или создания «мостов» для интеграции, что увеличивает срок и стоимость миграции.[3]
Полномочия для организации перевода субъектов КИИ на доверенные ПАК в пенсионной сфере переходят от Минфина к Минтруду
7 октября 2024 года обнародован проект постановления правительства, который предусматривает передачу полномочий для организации перевода субъектов критической информационной инфраструктуры (КИИ) в пенсионной сфере на доверенные программно-аппаратные комплексы (ПАК) в России от Минфина к Минтруду.
В документе речь идет о субъектах КИИ в банковской сфере, осуществляющих функции государственного пенсионного обеспечения и обязательного социального страхования. Под доверенным ПАКом понимается решение, которое «соответствует одновременно всем критериям признания программно-аппаратных комплексов доверенными». В частности, сведения о продукте должны содержаться в едином реестре российской радиоэлектронной продукции, а программное обеспечение должно соответствовать требованиям для использования органами государственной власти.
В соответствии с постановлением, Минтруду до 1 декабря 2024 года необходимо определить должностное лицо в должности не ниже заместителя руководителя министерства, ответственное за организацию перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах информационной инфраструктуры. Кроме того, необходимо утвердить план такого перехода.
Отмечается, что принятие положений, предусмотренных документом, не повлияет на достижение целей государственных программ РФ и не потребует дополнительных расходов из федерального бюджета и бюджетов иных уровней. Постановление соответствует положениям договора о Евразийском экономическом союзе от 29 мая 2014 года, а также положениям иных международных договоров. Переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ должен быть завершен до 1 января 2030 года.[4]
Объекты КИИ в России переведут на отечественные ПАКи
С 1 сентября 2024 года вступил в силу запрет на использование зарубежных ПАКов на объектах КИИ, следует из постановления Правительства России №1912. Иностранные технологии могут быть использованы только в двух случаях: если комплексы были приобретены до 1 сентября 2024 года, а также в случае, если на рынке отсутствуют отечественные аналоги необходимого решения, что подтверждается заключением Минпромторга. Об этом 3 сентября 2024 года сообщила пресс-служба члена комитета ГосДумы РФ по информационной политике, информационным технологиям и связи Антона Немкина.
Полный переход на отечественные ПАКи должен состояться до 1 января 2030 года. Программно-аппаратные комплексы – это набор технических и программных средств, используемых для решения одной или нескольких схожих задач. Сфера использования ПАКов достаточно обширна – они могут применяться как в системах видеонаблюдения, так и в сфере безопасности. По данным аналитиков, доля сегмента может достигать 20% от всего ИТ-рынка.
ПАК с точки зрения устройства – достаточно сложная система. Помимо программного обеспечения (ПО), комплекс включает в себя и непосредственное железо, которое также должно отвечать всем требованиям заказчика. Например, банкомат – тоже ПАК, и кроме ПО, он должен быть оснащен купюроприёмником, сканером и защищенным корпусом. Большой потенциал применения ПАКов во многих сферах экономики, наверное, пока остается ключевой сложностью для импортозамещения: решений, которые необходимо создать очень много, и на это потребуется время, – пояснил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. |
По словам депутата, объекты КИИ должны будут использовать доверенные ПАКи.
Используемые комплексы должны быть включены в единый реестр российской радиоэлектронной продукции. Если мы говорим про ПАКи, используемые для обеспечения информационной безопасности, то они должны соответствовать требованиям ФСТЭК или ФСБ России. Введение регуляторного обязательства по использованию отечественной техники – это, прежде всего, вопрос обеспечения безопасности страны. Доверять иностранным вендорам, как оказалось, нельзя, – пояснил депутат. |
По мнению Немкина, добиться увеличения доли использования отечественных ПАКов на объектах КИИ до 2030 года – вполне реальная задача.
Ряд направлений на сентябрь 2024 года уже находится на стадии активного развития. Например, если говорить про вычислительную технику, то сегмент в 2023 году, по разным оценкам, вырос от 20% до 50%, в том числе на 20% в денежном выражении, – отметил депутат. |
Ранее производитель вычислительной техники Fplus также сообщал, что отечественными продуктами уже можно закрыть до 80% потребностей заказчиков. Также, по данным исследования компании «К2 Тех», две трети российского рынка уже готовы к замене западных систем хранения данных (СХД) на отечественные аналоги.
Ранее Минпромторг выступил с инициативой возмещения части затрат предприятий при внедрении тяжелого промышленного инженерного ПО, а также ПАК. Предполагается, что льготная программа будет включена в нацпроект «Экономика данных».
На реализацию программы до 2030 года может быть выделено до 130 млрд рублей, при этом часть из них будет привлечена из частных инвестиций. Думаю, что наряду с административными ограничениями, установление субсидий – эффективный инструмент развития сегмента, – заключил депутат. |
Правительство РФ сможет устанавливать сроки перевода КИИ на отечественные ИТ-решения
11 июля 2024 года комитет Государственной Думы по информационной политике, информационным технологиям и связи рекомендовал принять в первом чтении законопроект, наделяющий правительство РФ дополнительными полномочиями по установлению сроков перевода объектов критической информационной инфраструктуры (КИИ) на отечественные ИТ-решения.
Как сообщает «Интерфакс», законопроект № 581689-8 предусматривает расширение полномочий правительства в отношении всех значимых объектов КИИ. Заместитель главы Минцифры Сергей Кучушев подчеркнул важность введения крайних сроков для эффективного перехода российских компаний и госкомпаний на отечественное программное обеспечение и доверенные программно-аппаратные комплексы.
Документ также предполагает наделение отраслевых регуляторов обязанностью определять типовые объекты КИИ, подлежащие обязательному категорированию. Ранее эта функция принадлежала владельцам объектов КИИ — компаниям и государственным органам.
Законопроект о внесении изменений в закон «О безопасности критической информационной инфраструктуры» был внесен правительством в Государственную Думу в марте 2024 года. В случае его принятия, кабинет министров получит право устанавливать требования к программному обеспечению и оборудованию, используемому на значимых объектах КИИ, а также определять случаи и порядок согласования использования иностранных решений.
Профильный комитет Госдумы в целом поддержал правительственный законопроект, однако предложил внести ряд уточнений. В частности, депутаты рекомендовали конкретизировать критерии отнесения программного обеспечения и оборудования к российским решениям, а также уточнить термин «преимущественное использование российского ПО и отечественной радиоэлектронной продукции на объектах КИИ».[5]
Для субъектов КИИ разработали новый порядок отчетности по защите данных
Федеральная служба технического экспортного контроля (ФСТЭК) разработала правила оценки защищенности госорганов и критически значимой инфраструктуры РФ (КИИ), сообщила 13 мая 2024 года пресс-служба депутата ГосДумы РФ Антона Немкина со ссылкой на «Коммерсант».
В правилах установлено, что оценка защищенности должна проводиться не реже чем раз в полгода. Так, организации будут должны собирать данные о состоянии корпоративных объектов и направлять их в службу не позднее 30 дней с определенного самой компанией срока. При этом допускается проведение внеочередных проверок в случае допущения киберинцидента или существенных изменений в ИТ-ландшафте компании. Пока что правила не устанавливают точной даты, с которой компаниям будет нужно представлять отчеты.
Кибератаки на инфраструктуру КИИ давно стали инструментом ведения кибервойн, отметил Антон Немкин.
Попытки внешнего вмешательства в отрасли энергетики, промышленности, банковской сферы, а также в государственный сектор превратились в повседневные. Как правило, цель такого воздействия – кража особо чувствительных данных, включая информацию, относящуюся к государственной тайне, а также вывод производственных цепочек из строя. Только в 2023 году на объектах КИИ было отражено порядка 65 000 кибератак. Поэтому новый порядок предоставления отчётности – еще одна возможность обеспечения должного уровня защиты, – сказал депутат. |
По словам Немкина, данные требования покрывают сразу несколько аспектов информзащиты.
Компании будут обязаны предоставлять как результаты внутреннего контроля, так и отчеты внешних аудиторов. Например, вендора в сфере информзащиты или другого государственного регулятора. Все это позволит сформировать комплексную оценку состояния ИТ-инфраструктуры организации, – считает он. |
Данные требования не обременительны для субъектов КИИ, считает депутат.
Для самих компаний это еще одна возможность провести независимую оценку степени защищенности. Кроме того, новые требования позволят эффективно распределить ресурсы самого регулятора. Если представленный отчет будет содержать подтверждение следованию всем нормативным требованиям и высокие показатели в части информзащиты, то от внеплановых проверок организации, вероятно, будут освобождены. ФСТЭК сосредоточится на более «уязвимых» организациях, – пояснил депутат. |
Немкин также подчеркнул, что пока нет информации о том, будут ли новые нормы носить обязательный характер.
Первое время регулятор будет работать с некоторыми компаниями в тестовом режиме. Однако соблюдать рекомендации в любом случае стоит. Обеспечение защищенности КИИ – один из основных приоритетов госполитики в сфере информационной безопасности. Подобные требования совершенно точно могут стать обязательными, – заключил парламентарий. |
Законопроект о переходе критически важных объектов на российское ПО внесен в Госдуму
Правительство РФ внесло в Госдуму законопроект, который может наделить кабмин полномочиями определять в каждой отрасли типы информационных систем, которые необходимо будет относить к значимым объектам критической информационной инфраструктуры. Все они с 2025 года должны будут обязательно перейти на отечественное ПО. Об этом 22 марта 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.
Проект федерального закона направлен на обеспечение технологической независимости и безопасности критической информационной инфраструктуры РФ в условиях введенных в отношении России санкций и при наличии рисков нарушения работоспособности объектов критической информационной инфраструктуры по причине введения таких санкций, - говорится в пояснительной записке к документу. |
Законопроект закрепляет именно правила перехода критической инфраструктуры на российское программное обеспечение, отметил Антон Немкин.
Согласно указу президента, подписанному в марте 2022 года, госкомпании и так больше не могут закупать иностранное ПО для использования на значимых объектах критической информационной инфраструктуры. С 1 января 2025 года должен вступить в силу полный запрет на использование иностранного программного обеспечения на значимых объектах КИИ. Законопроект, о котором идет речь, наделяет кабмин полномочиями определять в каждой отрасли типы информационных систем, которые необходимо будет относить к значимым объектам критической информационной инфраструктуры с учетом отраслевых особенностей, - пояснил депутат. |
При этом правительство будет устанавливать сроки перехода на российские ИТ-продукты – они будут увязаны с готовностью отечественных решений.
На март 2024 года собственник той или иной информсистемы самостоятельно определяет, относить или нет объект КИИ к значимому. При этом зачастую компании могут специально минимизировать количество таких систем, которые определяются как значимые объекты КИИ, чтобы снизить свои расходы. Законопроект позволит установить для каждой отрасли особый перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным.
Если говорить о сферах, где необходимо ускорить переход на отечественное ПО, то в первую очередь, речь идет о субъектах критической информационной инфраструктуры, к которым относятся государственные органы и предприятия или индивидуальные предприниматели, использующие информационные системы в критически важных отраслях, таких как здравоохранение, наука, транспорт, связь, энергетика и другие. Всего в нашей стране на март 2024 года насчитывается более 50 тысяч объектов КИИ в ведении более чем 5 тысяч организаций. Как ранее отмечали в Минцифры, острая потребность в импортозамещении остается примерно в 10 процентах ИТ-решений, поставлявшихся иностранными вендорами. Замена этих 10 процентов может оказаться самой сложной частью программы импортозамещения, так как она связана с наиболее сложным и дорогим ПО, разработка которого требует длительного цикла и большого количества высококвалифицированных разработчиков. Однако нет сомнений в том, что наши разработчики справятся и с этой задачей, если им будет оказана поддержка на соответствующем уровне, - добавил Антон Немкин. |
2023
Мишустин обязал ключевые субъекты КИИ использовать только отечественные ИТ-решения и поручил ведомствам разработать планы перехода
Премьер-министр Михаил Мишустин подписал постановление о переходе субъектов критической информационной инфраструктуры (КИИ) на российские ИТ-решения. Об этом стало известно в середине ноября 2023 года.
Как сообщает ТАСС со ссылкой на подписанное главой кабмина постановление, переход госорганов и ключевых предприятий РФ на отечественные софт и оборудование будет проходить с 1 сентября 2024 года до 1 января 2030-го. Отраслевые планы перехода субъектов критической инфраструктуры на доверенные программно-аппаратные комплексы должны быть утверждены до 1 сентября 2024 года. Эта работа поручена Минпромторгу, Минздраву, Минобрнауки, Минтрансу, Минцифры, Минэнерго, Минфину, Росреестру, Банку России, Росатому и Роскосмосу.
Предполагается, что планы перехода на доверенное оборудование и ПО организаций, которым непосредственно принадлежат значимые объекты критической информационной инфраструктуры, будут утверждены до 1 января 2025 года.
«Доверенный программно-аппаратный комплекс» определяется в документе как «программно-аппаратный комплекс, который соответствует одновременно всем критериям признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами, указанным в приложении» (сведения о программно-аппаратном комплексе содержатся в едином реестре российской радиоэлектронной продукции, программное обеспечение соответствует требованиям для использования органами государственной власти и т.д.).
Согласно проекту постановления правительства, разработанному Минпромторгом, переход на отечественные ПАК направлен «на обеспечение технологической независимости и безопасности критической информационной инфраструктуры РФ в рамках исполнения указа президента „О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации`».[6]
Минцифры РФ включит локализацию производства оборудования в оценку независимости КИИ
9 октября 2023 года стало известно о том, что Минцифры РФ намерено расширить перечень критериев оценки технологической независимости критической информационной инфраструктуры (КИИ). В список будет включено требование о локализации производства оборудования.
С 1 января 2025 года в соответствии с закрепленными на законодательном уровне нормами на значимых объектах КИИ запрещено использовать иностранное программное обеспечение. Кроме того, госорганы и организации не смогут применять средства защиты информации, происходящие из недружественных стран. Эти правила призваны обеспечить безопасность российской КИИ в условиях сложившейся геополитической обстановки, спровоцировавшей рост интенсивности кибератак.
Однако в принятых документах не предусмотрен принцип локализации разработки и производства аппаратных решений. В этой связи премьер-министр Михаил Мишустин в июне 2023 года поручил Минцифры «проработать вопрос формирования системы оценки уровня соответствия КИИ требованиям по технологической независимости». По итогам проделанной работы ведомство предложило подход, основанный на анализе наличия отечественных разработок, производственных линий высокотехнологичной продукции, необходимых кадровых ресурсов, научных и технологических заделов у владельцев КИИ.
Новая система оценки позволит понять, насколько владельцы объектов КИИ готовы к переходу на отечественное ПО и аппаратное обеспечение, а также к их разработке и внедрению в производство к 2025 году. Отмечается, что наработки Минцифры лягут в основу системы показателей технологического суверенитета, о которой сказано в Концепции технологического развития до 2030-го. В соответствии с этим документом, Россия «должна обладать собственной научной, кадровой и технологической базой критических и сквозных технологий». Речь идет об организации производства высокотехнологичной продукции, такой как микроэлектроника, современные станки, робототехника, авиакосмическая техника, беспилотники, медицинское и телекоммуникационное оборудование.[7]
Путин отнес владельцев ИКТ-систем в сфере регистрации недвижимости к субъектам КИИ
Президент России Владимир Путин подписал закон о расширении перечня субъектов критической информационной инфраструктуры (КИИ), дополнив его ИКТ-системами в сфере государственной регистрации недвижимости. Соответствующий документ опубликован на официальном портале правовой информации 10 июля 2023 года.
Изменения вносятся в закон «О безопасности критической информационной инфраструктуры Российской Федерации». По новым правилам, к субъектам критической информационной инфраструктуры добавлены госорганы, госучреждения, юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или на ином основании принадлежат информационные системы, функционирующие в сфере государственной регистрации прав на недвижимое имущество и сделок с ним.
Как пояснил член комитета Совета Федерации по конституционному законодательству и государственному строительству Александр Вайнберг, закон позволит «реализовать комплекс мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак, проводимых в отношении объектов указанной сферы».
Ранее к субъектам КИИ относились государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Минцифры подготовило закон о критичной информационной инфраструктуре
18 мая 2023 года стало известно о том, что Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры) прорабатывает новый законопроект, касающийся критической информационной инфраструктуры (КИИ) страны.
В марте 2022 года президент России Владимир Путин подписал указ, запрещающий госорганам и госкомпаниям использовать иностранное программное обеспечение на объектах КИИ. Такие структуры обязаны перейти на отечественные разработки с 1 января 2025-го. Старший аналитик по информационной безопасности Лиги цифровой экономики Елена Камышная, по сообщению газеты «Ведомости», уточнила, что к субъектам КИИ относятся государственные органы и организации, оперирующие соответствующими системами. Речь идёт о структурах в секторах здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, а также топливно-энергетического комплекса, у которых есть объекты критической инфраструктуры.
Как отметила Камышная, организации могут сами определять значимость объектов и не относить их к КИИ. Руководитель направления информационной безопасности CorpSoft24 Демьян Раменский объясняет, что для наиболее значимых объектов КИИ предусмотрены жесткие технические и организационные требования в плане надёжности и защиты. Поэтому некоторые участники рынка намеренно занижают категорию значимости своих систем: благодаря этому снижаются и критерии регуляторов.
Новый законопроект, подготовленный в Минцифры, предполагает введение принципов определения критичности инфраструктуры. В документе, в частности, установлены критерии по формированию перечня объектов КИИ, а также прописаны сроки перехода на российский софт. В дальнейшем перечень должен быть согласован с госорганом или российским юридическим лицом, который (которое) «выполняет функции по разработке государственной политики и (или) нормативно-правовому регулированию в установленной сфере в части подведомственных им субъектов КИИ».
Как уточняют «Ведомости», ссылаясь на источники в правительстве и ИТ-компаниях, проект документа уже согласован с заинтересованными сторонами: он готовится для внесения в Госдуму.[8]
2022
Правительство закрывает лазейку для закупок зарубежного ПО
Российским компаниям, выполняющим роль субъектов критической информационной инфраструктуры (КИИ), запретят закупать иностранное программное обеспечение, даже если у него нет отечественных аналогов. Соответствующее рекомендации по формированию отраслевых планов мероприятий для перехода на российский софт были утверждены Правительством РФ в конце августа 2022 года.
Как пишут «Ведомости» со ссылкой на этот документ, доля российского и евразийского ПО на значимых объектах КИИ по отрасли должна вырасти к концу 2022 году по сравнению с показателями конца августа на 10%. К концу 2023-му эта доля должна превышать исходные показатели уже на 40%. А за период 2024–2027 гг. все ПО на объектах КИИ на 100% должно быть отечественным.
Представитель Минцифры напомнил газете, что с 1 января 2025 года госорганам и госкомпаниям запрещено использовать иностранное ПО на значимых объектах КИИ (по указу президента от 30 марта 2022 года). Как технически будут реализовываться методические рекомендации, он уточнить отказался. Председатель совета директоров «Базальт СПО» Алексей Смирнов пояснил, что до начала 2025 года российские компании могут закупать иностранные версии ПО по согласованию с правительством. Российские разработчики получают преимущество при участии в госзакупках с 2016 года, когда вступил в силу закон «Об импортозамещении», напомнил Смирнов.
Прежде компании заявляли об избыточном функционале, чтобы отсеять другое ПО и получить разрешение на покупку зарубежного софта, сообщил изданию директор по стратегии и развитию технологий Axiom JDK компании «Беллсофт» Роман Карпов.
Например, заявлялось, что нужен такой-то самолет, а по факту используется только крыло самолета, — привел он аналогию. [9] |
Мишустин поручил Минцифры установить требования к использованию отечественных ИКТ-решений в отраслях
Премьер-министр Михаил Мишустин поручил Минцифры РФ установить требования к использованию отечественных ИКТ-решений в отраслях. Об этом пресс-служба Правительства РФ сообщила 23 сентября 2022 года.
Согласно поручению Мишустина, которое он дал по итогам стратегической сессии, состоявшейся 13 сентября 2022 года, законопроект о преимущественном использовании отечественного софта, программно-аппаратных комплексов, телекоммуникационного оборудования и радиоэлектронной продукции должен быть внесён в кабмин до 1 ноября 2022 года.
Предполагается, что этот документ установит требования по преимущественному использованию всеми субъектами критической информационной инфраструктуры отечественного софта, программно-аппаратных комплексов, телекоммуникационного оборудования и радиоэлектронной продукции (с учётом их готовности к массовому внедрению) на принадлежащих им значимых инфраструктурных объектах. Кроме того, в законопроекте должны быть уточнены полномочия отраслевых ведомств в части отнесения информационных систем к значимым объектам критической информационной инфраструктуры.
Нам важно обеспечить технологическую независимость от используемого иностранного программного обеспечения, стимулировать спрос на наши продукты. Это очень важно в условиях внешнего давления, – подчеркнул Михаил Мишустин во время своего выступления на стратегической сессии. |
В рамках этой работы по решению Правительства РФ были созданы 33 индустриальных центра компетенций, объединивших больше 300 организаций. Также были определены важнейшие ниши и направления, где доминирует иностранное программное обеспечение, и сформирован пул проектов, реализация которых должна обеспечить решение задачи по достижению технологической независимости.[10]
Правительство нашло новый способ ускорить импортозамещение в сфере ПО - ключевые ИТ-системы отнесут к КИИ
13 сентября 2022 года премьер-министр Михаил Мишустин объявил о планах правительства ускорить переход компаний на отечественный софт за счет включения новых ИТ-систем в список объектов критической информационной инфраструктуры (КИИ).
Все ключевые типы систем и приложений мы планируем отнести к объектам критической информационной инфраструктуры. И по каждой из позиций Правительством будет установлен финальный срок перехода на российское программное обеспечение", - заявил Мишустин на стратегической сессии об импортозамещении ПО 13 сентября 2022 года. |
Председатель правительства назвал конкурентной ситуацию в сфере ПО, поскольку уже для 80% иностранного софта есть российские аналоги, причем по трети позиций представлены два или более отечественного варианта. Примерно по 400 видов корпоративного ПО бизнес подтвердил критическую зависимость от импорта, сообщил Мишустин. Он добавил, что объём ежегодных расходов частного сектора на покупку лицензий, внедрение и поддержку составляет около 200 млрд рублей.
При этом премьер считает, что для России важно «не воссоздать текущий функционал зарубежных программных продуктов, а запустить свои, в полной мере отвечающие нуждам компаний». Также он заявил, что продукты должны быть ориентированы на экспорт, и потребовал, чтобы разработки не уступали импортным аналогам.[11]
Председатель Ассоциации разработчиков отечественных программных продуктов Наталья Касперская рассказала «Известиям», что необходимо еще и услышать мнение разработчиков.
Минцифры собрало мнения различных отраслей, какого ПО им не хватает. Отрасли написали свои пожелания. К сожалению, пожелания эти не были пропущены, по крайней мере пока, через мнения участников отрасли разработки ПО. Это произошло потому, что был поставлен жесткий срок по предоставлению материалов в правительство и большинство разработчиков просто не успели отреагировать, — пояснила Касперская. |
Утверждены правила использования ПО на значимых объектах критической информационной инфраструктуры
Правительство РФ утвердило требования к программному обеспечению, используемому органами власти и госкомпаниями на значимых объектах критической информационной инфраструктуры. Кроме того, утверждены правила согласования закупок иностранного и перехода на отечественное ПО. Об этом TAdviser 26 августа 2022 года сообщили в Минцифры России.
Постановление подготовлено во исполнение Указа Президента о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ.
Согласно утвержденным требованиям, на значимых объектах критической информационной инфраструктуры может использоваться только программное обеспечение, включенное в реестр российского или евразийского ПО. Отдельные виды продуктов должны иметь сертификат, подтверждающий соответствие требованиям ФСБ и ФСТЭК России.
Закупка иностранного ПО при этом должна быть согласована отраслевым министерством. Для закупок свыше 100 млн рублей требуется также дополнительное согласование комиссии, которая будет сформирована при Минцифры России.
Контроль за соблюдением госкомпаниями Правил согласования закупок иностранного ПО будет осуществлять также Минцифры России.
В то же время, министерствам необходимо утвердить отраслевые планы перехода на российское программное обеспечение на значимых объектах критической информационной инфраструктуры. На их основе госкомпании должны будут сформировать и утвердить индивидуальные планы перехода.
Минпромторг разработал порядок перевода объектов критической инфраструктуры на российское ПО и оборудование
Министерство промышленности и торговли РФ разработало порядок перевода объектов критической информационной инфраструктуры (КИИ) на российское программное обеспечение и оборудование. Соответствующий проект постановления правительства, разработанный ведомством, опубликован для общественного обсуждения.
Согласно документу, организации должны будут провести аудит своих объектов КИИ и разработать проект плана перехода на «преимущественное применение доверенных программно-аппаратных комплексов» – то есть тех, в состав которых входят российские радиоэлектронная продукция и ПО, находящиеся в соответствующих реестрах Минпромторга и Минцифры.
Разработку, создание и сервисное обслуживание таких ПАК для КИИ должно будет осуществлять специально созданное для этого научно-производственное объединение (НПО). Обеспечивать его организацию будет правительство РФ.
В проект плана перехода включат перечень используемых радиоэлектронной продукции, телеком-оборудования и ПО, сроки амортизации и действия прав на ПО, а также предложения по переходу на доверенные ПАК, отечественное железо и софт и возможные источники финансирования.
По мнению заместителя директора департамента консалтинга ГК Innostage Данияра Исхакова, составленные и опубликованные планы перехода дадут производителям российской радиоэлектронной продукции возможность оценить требуемые объемы и их технические и функциональные характеристики. Это позволит целенаправленно работать над выпуском необходимого рынку оборудования, сообщил он в разговоре с изданием RSpectr.
Минпромторг предлагает спланировать переход КИИ на программно-аппаратные комплексы (ПАК) с российскими компонентами до апреля 2023 года. Мониторинг перехода субъектов КИИ на преимущественное применение российского ПО планируется закрепить за Минцифры.[12] [13]
Путин поддержал запрет на иностранное ПО на негосударственных объектах критической инфраструктуры
18 июля 2022 года президент России Владимир Путин заявил, что поддерживает запрет на использование иностранного программного обеспечения на негосударственных объектах критической информационной инфраструктуры (КИИ) в стране. Этот запрет предложил ввести вице-премьер Дмитрий Чернышенко на заседании совета по стратегическому развитию и нацпроектам.
Те предложения, которые вы сделали, будут поддержаны. Проект указа - он уже готовится - будет подписан, - сказал Путин. |
Чернышенко отметил, что необходимо определить специальные условия использования существующего зарубежного ПО, пока работа над отечественными аналогами еще не завершена. Он также уточнил, что важно «избежать такой ситуации, когда пользователи законсервируют зарубежные решения и будут продолжать на них работать, не развиваясь». В связи с этим требования по использованию отечественного софта должны распространяться на все значимые объекты КИИ, а не только на те, которые принадлежат госструктурам и госкомпаниям.
Заместитель председателя Правительства РФ также указал на необходимость решить следующую задачу - обеспечить единообразие в категорировании всех значимых объектов КИИ, поскольку часто возникают ситуации, когда сама компания не относит важные информационные системы к значимым объектам КИИ.
Поэтому для каждой отрасли профильное федеральное ведомство совместно с Минцифры, ФСБ и ФСТЭК должно определить, какие типы информационных систем необходимо отнести к значимым объектам КИИ, - считает замглавы кабмина. |
По этим типам информационных систем в разрезе отраслей правительство может уже для всех без ограничений компаний установить сроки обязательной замены зарубежного ПО на российское, добавил Чернышенко. [14]
Путин запретил покупать иностранное программное обеспечение для критической инфраструктуры
Президент РФ Владимир Путин 30 марта подписал указ[15] о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры (КИИ) страны, постановляющий, что:
- с 31 марта 2022 года заказчики (за исключением организаций с муниципальным участием), осуществляющие закупки по 223-ФЗ, не могут осуществлять закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования на принадлежащих им значимых объектах КИИ России, а также закупки услуг, необходимых для использования этого программного обеспечения на таких объектах, без согласования возможности осуществления закупок с федеральным органом исполнительной власти, уполномоченным правительством;
- с 1 января 2025 года органам государственной власти, заказчикам запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ.
Тем же указом Путин поручил правительству в месячный срок утвердить:
- требования к ПО, используемому госорганами, заказчиками на принадлежащих им значимых объектах КИИ;
- правила согласования закупок иностранного ПО в целях его использования заказчиками на принадлежащих им значимых объектах КИИ, а также закупок услуг, необходимых для использования этого ПО на таких объектах;
А в 6-месячный срок президент поручил правительству реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения субъектами КИИ отечественных радиоэлектронной продукции и телеком-оборудования на принадлежащих им значимых объектах КИИ, в том числе:
- определить сроки и порядок перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ;
- обеспечить внесение в законодательство РФ изменений в соответствии с настоящим указом;
- обеспечить создание и организацию деятельности научно-производственного объединения, специализирующегося на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов для КИИ;
- организовать подготовку и переподготовку кадров в сфере разработки, производства, технической поддержки и сервисного обслуживания радиоэлектронной продукции и телеком-оборудования;
- создать систему мониторинга и контроля в названной сфере.
Контроль за выполнением указанных правил также возложен на правительство.
Минцифры готовит механизм противодействия продаже прав на российское ПО за границу
Минцифры проработает вопрос о создании механизмов противодействия и реагирования в случае продажи прав на программные продукты, включенные в реестр отечественного ПО, иностранному юлицу. Это следует из письма (есть в распоряжении TAdviser) замминистра цифрового развития Максима Паршина, направленного в конце марта в РУССОФТ, АПКИТ, АРПП «Отечественный софт» и Центр компетенций по импортозамещению в сфере ИКТ, от которых ожидается оперативная обратная связь по этой инициативе. Подробнее здесь.
Из-за проблем с импортным софтом в России могут встать заводы, водоканалы и нефтепроводы
Есть порядка 10-15 импортных программных продуктов, которые широко используют ведущие российские промышленные предприятия, и ограничение или прекращение доступа к которым несёт в себе критические риски. Такие сведения озвучили 22 марта 2022 года в ИТ-компании «Цифра».
Например, это продукты Aveva (Wonderware) в области управления производством (MES) для непрерывных производств. Гендиректор «Цифры» Игорь Богачев отмечает, что их используют большинство нефтеперерабатывающих и металлургических предприятий в России.
Один из популярных продуктов – платформа передачи данных PI System от Aveva (изначально разрабатывалась OSI Soft). Если вендор решит отозвать лицензии, то крупнейшие нефтеперерабатывающие предприятия России останутся без системы диспетчеризации, говорит Богачев. Более того, по данным «Цифра», 90% непрерывных производств в России используют PI System в качестве базы данных реального времени, которая собирает промышленную информацию, на основе которой осуществляется оперативное управление производством.
Какие-то риски, ошибки, связанные конкретно с этой программной системой по сути могут повлечь за собой остановку большинства непрерывных производств. Мы говорим и про нефтегаз, и про металлургию, и про энергетику, - отмечает гендиректор «Цифры». |
Сюда же можно отнести продукты разработчика Petroleum Experts, которые широко применяются в нефтянке для интегрированного моделирования активов и интегрированного планирования добычи углеводородов.
Еще один пример – продукты для сбора данных и диспетчерского контроля уровня SCADA. Так, «Транснефть» и Мосводоканал применяют HMI/SCADA iFIX компании GE. В первом случае – для управления заглушками, насосами нефти, во втором случае – воды. Эти системы являются критически важными. Их отключение в «Транснефти» может привести к полной остановке транспортировки нефти и нефтепродуктов по трубопроводам компании и к необходимости перейти на ручное локальное управление, оценивают в «Цифре».
А если аналогичное произойдёт в Мосводоканале, то риск связан с перебоями водоснабжения многих районов мегаполиса. При этом можно перейти на полуавтоматическое локальное управление процессами, насосами и задвижками и восстановить водоснабжение, но для этого потребовалось бы удвоить штат операторов.
На большинстве российских НПЗ, по данным «Цифры», для установок первичной и глубокой переработки нефти используется ПО класса DCS (распределенных систем управления, РСУ) компаний Honeywell, Emerson, ABB, Yokogawa. Отключение РСУ приводит к остановке заводов, поясняет гендиректор «Цифры».
Чем больше в ПО инженерного знания, тем сложнее его импортозаместить, - отметил в разговоре с TAdviser Игорь Богачев. – Например, различные CAD/CAM-системы или системы геологического цифрового моделирования – наиболее сложные для импортозамещения. |
Некоторые риски, связанные с использованием импортного ПО, о которых говорили не один год, уже наступили. Например, SAP отказал «Силовым машинам» в поддержке облачной платформы, фактически запретив доступ к ней, говорит Игорь Богачев. Доступ к облачным сервисам после начала спецоперации Вооружённых сил России на Украине стали ограничивать и другие западные вендоры.
Некоторые заказчики успокаивают себя тем, что отключены могут быть облачные решения, а развёрнутое на собственных серверах ПО отключить нельзя, но в случае с критически важными системами риски связаны не только с потенциальным отключением, говорит Богачев. В любом ПО, особенно сложном, бывают ошибки, и оно нуждается в постоянной поддержке. Риск заключается в том, что критически важные системы зависят от разработчика, который работает в других странах, в других экономиках, и что система, которая по какой-то причине начала работать с ошибками, не сможет быть исправлена, если разработчик окажется недоступным. Собственная служба поддержки в этом случае мало поможет, поскольку у неё нет исходных кодов решений.
С конца февраля на фоне спецоперации Вооружённых сил России на Украине многие технологические компании устроили демарш из России или объявили об ограничении своей деятельности в стране, включая услуги поддержки. Вышеупомянутая Aveva таких заявлений не делала, однако Schneider Electric, подразделением которого она является, в марте сообщал о приостановке инвестиций в Россию и новых проектов в России и Беларуси[16]. О приостановке или прекращении деятельности на территории России сообщали также указанные выше GE, Honeywell, Emerson. ABB заявляла о приостановке приема заказов из России.
В «Цифре» полагают, что сейчас нужно достаточно быстро в масштабах страны и каждого конкретного предприятия создавать оперативный план если даже не импортозамещения, то хотя бы снижения рисков, связанных с тем, что критические системы могут просто перестать функционировать, считает он.
Проблема зависимости промышленных предприятий от зарубежного софта прорабатывается совместно с регуляторами и отраслью. Так, на прошлой неделе состоялось совещание в Минцифры, на котором присутствовали представители органов власти, Центра компетенции по импортозамещению в сфере ИКТ, отечественных промышленных предприятий, включая «Росатом» и ОДК, и разработчики ПО. Цель была в том, чтобы понять, что надо делать, и как быстро можно двигаться.
На выходе должны быть инициативы по целевому выращиванию отечественных продуктов на замену импортным. Для этого, с одной стороны, инициативы должны родиться, а с другой стороны должны быть бюджетные средства, - заявил Богачев TAdviser. |
По оценкам «Цифры», 60% западного промышленного ПО можно заменить готовыми российскими аналогами, еще 40% разработок необходимо дописывать.
2021
Администрация президента раскритиковала проект перевода госорганов, банков и оборонки на отечественные ИТ-решения
Как стало известно 17 ноября 2021 года, Государственно-правовое управление (ГПУ) президента раскритиковало разработанный Минцифры проект об экономических мерах обеспечения технологической независимости и безопасности объектов информационной инфраструктуры (КИИ).
Этот документ предлагает установить единый срок перехода КИИ на отечественное оборудование и ПО — 1 января 2023 года. В ГПУ заявили, что в проекте указа президента не оценена возможность исполнения этих требований в указанный срок.
Кроме того, инициатива Минцифры может противоречить Конституции, поскольку ведомство предлагает возложить импортозамещение на широкий круг лиц, однако их права и свободы могут быть ограничены только в целях обеспечения обороны страны и безопасности государства исключительно федеральным законом, считают в ГПУ.
Ещё один предмет критики Государственно-правового управления президента связан с предложением возложить на Правительство РФ обязанность по утверждению порядка перехода и требований к ПО и оборудованию на объектах КИИ. Дело в том, что направления госполитики в области безопасности КИИ уполномочен определять президент, пояснили в ГПУ.
По словам источника «Коммерсанта» в одном из банков, критика ГПУ поможет отсрочить принятие дкокумента, который бьет по всем критическим отраслям — от банков до металлургов.
Есть много нерешенных вопросов: что делать, если у банка «самописное» ПО, а если ПО на «аутсорсе»? Срок перехода очень агрессивный. Он возможен, но должен быть плавным, иначе возникнет угроза безопасности, — отметил собеседник. |
Старший аналитик Райффайзенбанка Сергей Либин согласен с тем, что Минцифры хочет установить жесткий дедлайн на переход КИИ на российские ИТ-решения. Вероятно, такие сроки связаны с желанием властей подстегнуть развитие необходимого ПО, полагает он.[17]
Перевод КИИ на российское «железо» и ПО может повлечь «необоснованные расходы» бизнеса и государства
Министерство экономики России раскритиковало план Минцифры по импортозамещению на объектах критической информационной инфраструктуры (КИИ). Об этом стало известно 14 мая 2021 года.
По мнению Минэкономики, в разработанном Минцифры документе содержатся избыточные требования, наличие которых повлечет за собой дополнительные необоснованные расходы бюджета и бизнеса при импортозамещении в КИИ.
В проекте акта выявлены положения, которые вводят избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствуют их введению, а также способствуют возникновению необоснованных расходов субъектов предпринимательской и иной деятельности или способствуют возникновению необоснованных расходов бюджетов всех уровней бюджетной системы РФ», – сказано в отзыве Минэкономики. |
Проект постановления Правительства России Минцифры опубликовало 2 февраля 2021 г. Его общественное обсуждение длилось до 1 марта 2021 г.
В подготовленном Минцифры проекте постановления Правительства, помимо прочего, вносится предложение о проведении анализа зарубежного софта и «железа», используемого на май 2021 года в компаниях. В отзыве Минэкономики на этот проект указано, что критерии для проведения такого анализа «недостаточно определенные».
В министерстве считают также, что эти критерии не учитывают «разницу в стоимости и сроках поставки таких ПО и оборудования».
В этой связи в случае отсутствия возможности поставки оборудования и ПО в необходимые сроки, а также по стоимости, значительно превышающей иностранный аналог, проектируемое регулирование способно негативно сказаться на функционировании субъектов КИИ как в части предоставления услуг населению, так и финансово-экономической деятельности субъектов предпринимательской деятельности, – говорится в заключении Минэкономики. |
Эксперты министерства предлагают внедрять такое регулирование не сразу, а в несколько этапов с учетом сроков поставки российского оборудования и в зависимости от значимости объектов КИИ.
Министерство также обратило внимание на тот факт, что проект постановления Правительства предлагает согласовывать перечень используемых и планируемых к использованию иностранных ПО и оборудования с Минцифры, Минпромторгом и Банком России (для субъектов КИИ в банковской сфере).
Однако критерии такого согласования ни проектом акта, ни иными нормативными правовыми актами не устанавливаются», – сказано в отчете[18]. |
Расходы предприятий при переходе на российские ИТ-решения могут превысить 1 трлн рублей
При введении требований об обязательном переводе ИТ-систем объектов критической информационной инфраструктуры (КИИ) на российские программные и аппаратные решения расходы бизнеса могут превысить 1 трлн рублей. Такую оценку президент Российского союза промышленников и предпринимателей (РСПП) Александр Шохин привел в письме, отправленном главе правительства Михаилу Мишустину.
Как пишет РБК со ссылкой на это обращение, его авторы просят кабмин поручить профильным ведомствам доработать вместе с бизнесом изменения в законодательство, подготовленные Минцифры, и механизм постепенного перехода на российское ПО.
Представитель Минцифры сообщил изданию, что с мая 2020 года министерство «находилось в постоянном диалоге с коммерческими компаниями» относительно подготовки требований по переходу на российское ПО.
По словам Шохина, Минцифры предъявляет одинаковые требования к владельцам критической информационной инфраструктуры, которые имеют разную значимость для информационной безопасности России.
Например, объекты КИИ на атомной станции и на рынке массовых услуг (частный банк, оператор связи, поликлиника, продажа билетов на транспорт и прочие) имеют разные оценки рисков безопасности для программного обеспечения и оборудования, а также радикально различаются уровнем значимости для информационной безопасности страны и ее обороноспособности, — заявил глава РСПП. |
Кроме того, он указал, что данные Минцифры о наличии на российском рынке аналогов иностранного оборудования и софта расходятся с реальностью. По данным РСПП, к апрелю 2021 года только 49 из 3827 позиций российской радиоэлектронной продукции «теоретически» могут использоваться на производстве. Остальных либо недостаточно, либо они не позволяют обеспечить бесперебойную и эффективную работу промышленности.[19]
Введение штрафов за нарушение защиты критической ИТ-инфраструктуры
В конце января 2021 года Государственная Дума приняла в первом чтении разработанный Правительством РФ законопроект о штрафах за нарушение требований безопасности критической информационной инфраструктуры (КИИ).
Так, максимальный штраф в 100 тыс. рублей вводится за нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, если такие действия (бездействие) не содержат уголовно наказуемого деяния.
Нарушение «порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак», согласно тексту законопроекта, будет грозить должностным лицам штрафом в размере от 10 тыс. до 50 тыс. рублей, а юридическим лицам – от 100 тыс. до 500 тыс. рублей.
Кроме того, за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, предусмотрены штрафы для должностных лиц – от 20 тыс. до 50 тыс. рублей, для юридических лиц – от 100 тыс. до 500 тыс. рублей.
В пояснительной записке указано, что действующее законодательство о безопасности информационной инфраструктуры госорганов, банков, промышленности и обороны выполняется не в полной мере, что создает угрозу ее безопасности.
В частности, приводится пример масштабной кибератаки 2017 года, когда большое количество компьютерной техники в ряде госкомпаний было поражено вирусом-шифровальщиком WannaCry. На восстановление работы информационной инфраструктуры ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.[20]
Минцифры предлагает ускорить переход банков и ТЭК на российские ИТ-решения
18 января 2021 года стало известно о предложении Министерства цифрового развития, связи и массовых коммуникаций РФ ускорить на год переход на отечественное для объектов критической информационной инфраструктуры. К ним относятся сети и ИТ-системы госорганов, а также государственных и частных предприятий оборонной промышленности, энергетики, топливной и атомной промышленности, транспорта, кредитно-финансовой сферы и др.
Прежде Минцифры предполагала миграцию таких объектов на преимущественное использование российского софта до 1 января 2024 года, а российского оборудования — до 1 января 2025-го. В новом проекте указа президента РФ, опубликованном на портале проектов нормативных правовых актов, указаны следующие сроки: до 2023 года и 2024 года соответственно.
Как пояснили ТАСС Информационное агентство России в Минцифры, решение об изменении сроков принято на основе предложений, поступивших во время общественного обсуждения проекта, в том числе позиции о готовности российских разработчиков обеспечить отрасли экономики российскими решениями.
Согласно проекту, под преимущественным понимается приоритетное использование российского ПО и (или) оборудования при наличии соответствующих российских аналогов.
Сложнее всего переход на российское ПО и оборудование будет для структур, у которых значимыми объектами КИИ являются автоматизированные системы управления технологическими процессами: у них, как правило, длительный и сложный цикл внедрения, считает ведущий эксперт направления «Информационная безопасность» компании «Крок» Евгений Дружинин. Прежде всего это относится к таким отраслям, как энергетика, топливно-энергетический комплекс, металлургическая и химическая промышленность, атомная отрасль, сказал он «Ведомостям».
В 2020 году глава Минпромторга Денис Мантуров говорил, что доля российских компаний на рынке оборудования для критической информационной инфраструктуры составляет около 15-20% в основном за счет закупок для государственных нужд.[21]
Минцифры разработало требования к ПО и оборудованию для объектов КИИ
В январе 2021 года Министерство цифрового развития, связи и массовых коммуникаций РФ представило доработанные требования к программному обеспечению и оборудованию для объектов критической инфраструктуры (КИИ). Соответствующий документ опубликован на федеральном портале проектов нормативных правовых актов.
Этот проект постановления правительства устанавливает Минцифры и Минпромторг ответственными за соблюдением проекта порядка в части ПО и в части телекоммуникационного оборудования и радиоэлектронной продукции соответственно.
Проект требований направлен на установление критериев, которым должны соответствовать ПО, телекоммуникационное оборудование и радиоэлектронная продукция, а также условий, обеспечение которых необходимо для их использования на объектах КИИ.
Кроме того, документ предусматривает возможность направления на согласование в уполномоченные федеральные органы исполнительной власти перечней используемых и (или) планируемых к использованию иностранных ПО, телекоммуникационного оборудования и радиоэлектронной продукции, аналоги которых отсутствуют в едином реестре российских программ для электронных вычислительных машин и баз данных или едином реестре программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза и (или) в едином реестре российской радиоэлектронной продукции.
В разговоре с ComNews начальник управления центра компетенций по вычислительным комплексам компании «Техносерв» Роман Бобрышев отметил, что эта инициатива Минцифры должна способствовать развитию процесса перехода объектов КИИ на преимущественное использование российских ИТ-решений, хотя бы потому, что в нем указан порядок действий, который необходимо выполнить, а также будут определены сроки.[22] [23]
2020
Бизнес попросил о поэтапном переходе банков и ТЭК на российское оборудование и ПО
В конце ноября 2020 года Российский союз промышленников и предпринимателей (РСПП) дал своё заключение к разработанному Минцифры проекту указа президента о переходе объектов критической информационной инфраструктуры (КИИ) на отечественное ПО и оборудование до 1 января 2024 года и до 1 января 2025-го соответственно.
В комиссии РСПП по связи и информационно-коммуникационным технологиям сочли такой формат неправильным. Оборудование первично, поэтому предлагаемая последовательность перехода приведет к неэффективным затратам: компании будет вынуждены устанавливать российский софт на имеющейся импортной технике, а через год переносить это ПО на новые российские устройства и адаптироваться к ним, говорится в заключении комиссии, выдержки из которого приводит «Коммерсантъ».
В союзе отмечают, что на объектах КИИ, как правило, применяются ИТ-решения зарубежных производителей, которые зачастую отсутствуют в России или представлены существенно уступающими в функциональности отечественным аналогам, поэтому инициативы Минцифры могут привести к остановке бизнес-процессов и массовых услуг в области связи, интернет-сервисов, банковской сферы, медицины и др. Кроме того, по мнению РСПП, законопроект в его текущем виде может заставить бизнес изменить свои инвестиционные планы. В заключении приводятся данные, согласно которым одна из металлургических компаний оценила расходы на установку российского ПО и оборудования в 10 млрд рублей.
Сроки перехода не учитывают необходимость при такой масштабной перестройке действовать поэтапно, это и затратно, и рискованно, соглашается руководитель центра ИТ-консалтинга МДТ «Цифра» Ольга Молярчук. По ее мнению, связность и консистентность отечественных ИT-решений и оборудования еще не достигают уровня глобальных аналогов, что требует существенных усилий для отбора и тестирования бизнесом.[24]
Банки попросили передать ЦБ контроль над переходом на российское ПО
В конце ноября 2020 года стало известно о позиции Ассоциации банков России (АБР) касательно контроля над переходом кредитных организаций на отечественное программное обеспечение. По мнению организации, курировать этот вопрос должен ЦБ РФ, а не Министерство цифрового развития, связи и массовых коммуникаций РФ, поскольку ведомство не понимает специфику банковской отрасли.
О том, что отвечать за вопросы софтверного импортозамещения в банках будет Минцифры, говорится в подготовленном министерством проекте указа президента РФ, который был опубликован в конце октября 2020 года. В этом случае может быть потерян контроль над данными, составляющую банковскую тайну, предупредили в АБР в письмах, разосланных в Минцифры, Минэкономразвития, Минюст и ЦБ.
По мнению авторов обращения, банки лишатся возможности использовать ПО собственной разработки, не включенное в реестр отечественного ПО. Кроме того, проект указа устанавливает сроки перехода на отечественный софт, не учитывая того, что в реестре просто нет необходимых банкирам программ, сказано в письме АБР, выдержки из которого приводят «Ведомости».
Минцифры также предлагает смягчить невыполнимые сроки перевода критической информационной инфраструктуры (КИИ, сюда среди прочего относятся ИТ-системы банков) на отечественный софт и оборудование, сдвинув их с 2021 на 2024–2025 годы.
На разработку сложного ПО, особенно в банковской сфере, нужно больше времени, сообщил «Коммерсанту» исполнительный директор Artezio (входит в ГК «Ланит») Павел Адылин. Перед отечественными компаниями стоит задача за три года догнать, а в идеале — превзойти мировых лидеров в программных решениях, отмечает он. Отставание производителей оборудования и ПО от отрасли не позволяет выполнить сверхбыстрый переход, но новые сроки выполнимы, полагает глава департамента информбезопасности МКБ Вячеслав Касимов.[25][26]
ИТ-бизнес попросил Путина не затягивать переход банков и ТЭК на российское ПО и оборудование
Как стало известно 20 ноября 2020 года, Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» и Ассоциация российских разработчиков и производителей электроники (АРПЭ) направили президенту России Владимиру Путину письмо с просьбой не допустить переноса сроков перехода на использование российского оборудования и программного обеспечения в отраслях с критической информационной инфраструктурой (КИИ).
По словам авторов обращения, Россия находится в непростых условиях внешних санкций и острой конкурентной борьбы с ведущими ИТ-державами, «что создаёт очевидную угрозу государственной безопасности в виде потери цифрового, а за ним и национального суверенитета».
Как пишет РБК, председатель правления АРПП «Отечественный софт» Наталья Касперская и исполнительный директор АРПЭ Иван Покровский указывают, что именно в ближайшие годы будут реализованы программы цифровизации экономики и если отложить переход на отечественное ПО и оборудование, то «это поставит в зависимость от зарубежных вендоров не только отрасль информационных технологий, но в целом экономику и систему государственного управления». Авторы признают, что у скорого перевода владельцев критической информационной инфраструктуры на российский софт и оборудования есть риски, на которые указывают владельцы подобных объектов. Но главы ассоциаций настаивают, что «нарастающие риски информационной безопасности и технологической зависимости не позволяют откладывать процесс импортозамещения».
Подготовленный Минцифры указ о 3-летней отсрочке внедрения российских решений на объектах КИИ в АРПП и АРПЭ назвали происками ряда участников рынка, которые хотят продолжить закупки и внедрение иностранных технологий.
В Минцифры говорят, что ведомство решило продлить сроки перехода на отечественные продукты после того, как участники рынка выразили несколько опасений, связанные в том числе с:
- существенным уровнем затрат, необходимых для перехода;
- важностью сохранения непрерывности работы в условиях перехода;
- неготовностью отечественных разработчиков ПО и производителей оборудования удовлетворить потребности.[27]
Банки попросили ЦБ отложить переход на российское оборудование и ПО
Как стало известно 11 ноября 2020 года, Ассоциация банков «Россия» (АБР) направила заместителю председателя ЦБ Дмитрию Скобелкину с просьбой отложить обязательный переход владельцев критической информационной инфраструктуры (КИИ) на использование преимущественно отечественных программных и аппаратных продуктов.
Как пишет РБК, Минцифры уже продляло переход с начала 2022 года на 1 января 2024 года для ПО и на 1 января 2025 года — для оборудования. Однако этого, объяснили в ассоциации, будет недостаточно, чтобы полноценно заменить 85% используемых ИТ-решений.
При этом в некоторых категориях ПО и оборудования на рынке нет российских аналогов, «обеспечивающих требуемый функционал и информационную безопасность», говорится в письме.
Необходимость проведения масштабных затрат неизбежно повлияет на объем и качество предоставляемых банками финансовых услуг населению и реальному сектору экономики. Мы оцениваем, что сокращение капитала банков приведет к сокращению размера кредитования на сумму 5–7 трлн рублей, что негативно отразится на экономике страны, — подчеркнули в ассоциации. |
АРБ также попросило Банк России не включать в специальный реестр софт и оборудование, которое разработали они сами, но разрешить их использование. Среди других предложений — создание облегченных правил вхождения в реестр для решений, которые разработаны компаниями из банковских групп и используются только внутри банка. На ЦБ предлагается возложить функции контроля за процессами импортозамещения на финансовом рынке.
По словам вице-президента АРБ Алексея Войлукова, новые предложения от банков были сформулированы по итогам опроса, в котором участвовали 28 кредитных организаций, девять из которых входят в ТОП-20 по размеру активов. Банк России изучит новые предложения, сообщил представитель ЦБ.[28]
Реакция ИТ-отрасли на новые сроки перехода владельцев КИИ на российский софт и оборудование
TAdviser выяснил мнение представителей ИТ-индустрии о новых сроках перехода на преимущественно отечественное программное обеспечение (ПО) и оборудование владельцев критической информационной инфраструктуры (КИИ). 29 октября 2020 года Министерство цифрового развития вынесло на общественное обсуждение проект приказа президента, согласно которому на отечественное ПО владельцы КИИ должны перейти до 1 января 2024 года, а на российское оборудование - до 1 января 2025 года[29]. Документ также наделяет правительство правом утверждения требований к ПО и оборудованию, используемому на объектах критической информационной инфраструктуры (КИИ), и порядок перехода на российские решения.
В мае 2020 года Минцифры предлагало владельцам КИИ сделать это быстрее: перейти на преимущественное использование отечественного ПО с 2021 года, на российское оборудование - с 2022 года. Несмотря на то, что дедлайны сдвинулись, большинство опрошенных TAdviser респондентов все равно считают их слишком жесткими.
Сроки перехода достаточно сжатые, и их реалистичность будет зависеть от финансовых возможностей владельцев КИИ, считает директор по безопасности «МойОфис» Александр Буравцов.
Скорее всего, реализация новых положений приведет к увеличению планируемого объема затрат. Кроме того, для владельцев систем переход на преимущественное использование российского ПО и оборудования сопряжен с рядом трудностей, которые могут быть вызваны отсутствием отечественных аналогов или необходимой функциональности. В процессе пилотирования и опытной эксплуатации нового оборудования и программного обеспечения, компании-субъекты КИИ также могут столкнуться с ошибками и сбоями работы своих систем. Причем перестройка на новые решения потребуется не только для основной деятельности, но и для систем безопасности, - проинформировал TAdviser Александр Буравцов. |
Представленный Минцифры порядок перехода, по его мнению, оставляет владельцам КИИ возможность обосновать необходимость использования зарубежного оборудования и закупки иностранного ПО. Данный факт несомненно отразится на реализации государственных программ и национальных проектов, которые направлены на развитие отечественных решений.
Оставляет неясность и термин «преимущественное использование российского программного обеспечения и оборудования»: - в тексте документов не определены критерии соответствия такому показателю, что вызывает недопонимание среди владельцев КИИ. То же касается и возможности использования ПО и оборудования, которые не включены в реестры отечественного ПО и оборудования, - отметил Александр Буравцов. |
Кроме того, по его словам, требования обязуют субъектов КИИ обеспечить возможность модернизации, гарантийной и технической поддержки развернутого ПО и оборудования российскими организациями, которые не находятся под прямым или косвенным иностранным контролем.
Такие меры приведут к созданию зарубежными вендорами независимых представительств на территории России, которые смогут поставлять иностранные решения под предлогом модернизации существующей технологической базы, - заявил Александр Буравцов. |
Вместе с тем, по его мнению, разработанный порядок перехода можно назвать стандартным и он знаком участникам рынка.
К сожалению, в порядке перехода не предусмотрена этапность перевода КИИ на отечественные решения, документ требует проводить все работы одномоментно, - заметил Александр Буравцов. |
По мнению эксперта Softline по защите критической информационной инфраструктуры Максима Прохорова, полностью перестроить инфраструктуру без ущерба качеству работы в короткие сроки, заявленные Минцифры, большинству предприятий будет затруднительно.
Многим организациям придется обновить до 80% инфраструктуры, причем, речь идет не только о средствах защиты информации, но и других функциональных решениях. Это требует больших трудозатрат, временных и финансовых вложений. Сложнее всего приходится промышленным предприятиям, в которых присутствует технологический сегмент, так как для них очень важно подобрать решения, которые не будут мешать работе АСУ ТП. К счастью, российские производители средств защиты информации давно обратили внимание на работу с данным сегментом и производят решения, которые хорошо интегрируются с функционирующими у заказчиков системами, - рассказал TAdviser Максим Прохоров. |
Он также обратил внимание, работа по приведению ИБ-инфраструктуры в соответствие с ФЗ 187 в субъектах КИИ была начата два года назад, а промышленные предприятия еще ранее столкнулись с необходимостью выполнения приказа ФСТЭК №31.
На первоначальном этапе работа велась без оглядки на импортозамещение. Многие крупные организации успели реализовать этапы категорирования и проектирования систем информационной безопасности, а кто-то уже перешел к закупкам и внедрениям зарубежных решений, имеющих сертификацию ФСТЭК, либо прошедших испытания на совместимость. Сегодня эти заказчики будут вынуждены выполнить часть работ заново, - отметил Максим Прохоров. |
На первоначальном этапе, по его словам, Softline рекомендует своим заказчикам произвести подробный аудит и составить план-график перехода на отечественное ПО и оборудование.
Директор департамента информационных технологий «Крок» Мария Уколова, говоря с TAdviser о сроках перехода субъектов на преимущественное использование российского ПО и оборудования, обратила внимание, что «похоже, срок 3 года стал своеобразным эталоном для правительства».
Такой же срок установлен, например, в приказах Минцифры № 334, 334, 486. Хотя надо признать, что до сих пор это был ориентир, к которому регулятор призывал стремиться. И в принципе для небольших организаций, думаю, реально осуществить такой переход. Для крупных же компаний этого времени явно недостаточно. За три года они успевали только развернуть тестовые стенды. И введение штрафов за нарушения требований к КИИ усложняет ситуацию, - заметила Мария Уколова. |
Сложнее всего перейти на преимущественное использование российского ПО и оборудования будет тем субъектам, у которых значимыми объектами КИИ являются автоматизированные системы управления технологическими процессами, поскольку они имеют, как правило, длительный и сложный жизненный цикл. Прежде всего, по мнению Уколовой, это относится к таким отраслям как энергетика, топливно-энергетический комплекс, металлургическая и химическая промышленность, область атомной энергии.
Сложность может составить отсутствие экосистемы отечественного ПО. Мы видим, что многие решения создаются в отрыве друг от друга, что мешает их взаимной интеграции и бесконфликтной работе. Часто КИИ связана с собственной или заказной разработкой ПО, - рассказала Мария Уколова. |
Кроме того, по ее словам, в рамках перехода на преимущественное использование российского программного обеспечения потребуется пересоздание соответствующих систем уже на отечественных платформах.
В связи с этим, думаю, в переходный период будет сложно избежать сопутствующих высоких затрат, растягивания сроков разработки, рисков сбоев и снижения производительности. Скорее всего, это особенно почувствует на себе банковский сектор. И очень хочется надеяться, что кроме кнута в виде штрафов для компаний будет приготовлен еще и пряник, например, в виде снижения налоговой нагрузки в зависимости от потраченных ресурсов, - отметила Мария Уколова. |
Построение инфраструктуры и внедрение российского оборудования в существующую ИТ-систему, когда происходит замена старого на новое, по ее мнению, тоже может быть сопряжено с трудностями.
В компаниях зачастую установлено разное «железо», и оно требует перенастройки. Например, подключить сервера в общую сеть. Сложности часто вызывает и настройка систем мониторинга. Подчеркну, что в данном случае речь идет об Intel-архитектуре. Если для всего серверного оборудования КИИ потребуется переход на отечественные процессоры, то это дополнительно усложнит работу ИТ-службы, поскольку придется думать еще и о совместимости применяемых программных решений с новой процессорной архитектурой, - обратила внимание TAdviser Мария Уколова. |
Она также добавила, что в России есть производители серверов и СХД, из которых «Крок» собирает боевые системы для клиентов.
И, основываясь на опыте работы, могу сказать, что, к сожалению, пока не для всех задач можно подобрать отечественное оборудование, - заявила TAdviser Мария Уколова. |
Вместе с тем, она обратила внимание, что, так как большинство субъектов КИИ в соответствии с требованиями 187-ФЗ находятся на стадии проектирования систем безопасности объектов КИИ, им не должно составить большого труда сделать выбор в пользу средств защиты российского производства.
Сложнее дело обстоит с заменой компонентов, реализующих производственные функции объектов КИИ, поскольку эта работа требует довольно серьезного перепроектирования и модернизации функционирующих объектов, - уверена Мария Уколова. |
Первый заместитель управляющего директора «Ланит-Интеграция» Олег Головко в разговоре с TAdviser отметил, что, на первый взгляд, сроки перехода субъектов КИИ на преимущественное использование российского ПО и оборудования вполне объективны.
Но если разобраться в деталях, получается следующая картина. У субъектов КИИ есть три года на реализацию требований. Компаниям, определенно, потребуется какое-то время на подготовку - сформировать план действий по переходу, бюджеты, соответствующие команды и т.д. При оптимистичном раскладе, это может занять около года для компаний сегмента СМБ, не говоря уже о крупных субъектах КИИ. Остается около двух лет на реализацию требований по переходу на отечественное ПО. Таких сроков может оказаться недостаточно. Вывод один - в случае вступления в силу настоящего указа президента времени на раскачку уже не будет, и «бежать» нужно уже сейчас, - отметил Олег Головко. |
Минцифры откладывает перевод банков и ТЭК на российский софт на 2025 год
Министерство цифрового развития, связи и массовых коммуникаций РФ намерено отложить переход на преимущественно российское ПО для владельцев критической информационной инфраструктуры (КИИ) с 2021 года на 2024 год, а отечественное оборудование — с 2022 года на 2025 год. Об этом говорится в опубликованном ведомством проекте указа президента. На документ 2 ноября 2020 года ссылается РБК.
Предыдущий дедлайн, предложенный Минцифры, — 2021 год для внедрения софта и 2022-й — для оборудования. Владельцы КИИ просили перенести эти сроки.
Старший вице-президент, руководитель департамента организации и управления ИТ ВТБ Сергей Безбогов назвал «позитивным сигналом» предложение о переносе сроков перехода на преимущественное использование отечественного ПО и оборудования для владельцев критической информационной инфраструктуры. Но, по его мнению, и в новые сроки реализовать такой масштабный проект — это «трудно осуществляемая задача».
Проект указа президента, говорится в пояснительной записке к нему, Минцифры подготовило в целях обеспечения технологической независимости критической информационной инфраструктуры. Для этого ее владельцы должны в приоритетном порядке использовать российские аналоги иностранного программного обеспечения и оборудования «в случае, если они позволяют по своим техническим характеристикам в полной мере» обеспечить безопасность объектов.
План перехода на преимущественно отечественное ПО и оборудование владельцы КИИ должны утвердить до 1 июля 2021 года. Использовать зарубежные программные и аппаратные продукты будет будет, если для них нет отечественных аналогов. Владелец критической информационной инфраструктуры должен будет согласовывать использование иностранного софта с Минцифрой, а оборудования — с Минпромторгом.[30]
ФСТЭК подписал указ об использовании отечественного ПО на объектах критической инфраструктуры
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) о внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ (КИИ) подписан и опубликован на официальном портале правовой информации. Об этом стало известно 16 сентября 2020 года.
Изменения направлены на использование в КИИ РФ преимущественно отечественного программного обеспечения и оборудования в целях обеспечения её технологической независимости и безопасности, а также создания условий для продвижения российской продукции.
Изменения касаются уточнения условий выбора программного обеспечения и оборудования, используемого в составе значимых объектов критической информационной инфраструктуры, а также порядка его принятия к эксплуатации на таких объектах.
Приказ разработан во исполнение поручений президента по итогам специальной программы «Прямая линия с Владимиром Путиным» 20 июня 2019 года[31].
В Совете Федерации предложили госкорпорации и госкомпании отнести к объектам критической информационной инфраструктуры
В Совете Федерации предложили госкорпорации и госкомпании отнести к объектам критической информационной инфраструктуры. Об этом стало известно 3 сентября 2020 года.
В Правительство РФ направлены на рассмотрение поправки к федеральному закону «О безопасности критической информационной инфраструктуры». Если документ будет одобрен, то для компаний с государственным участием установят порядок перехода на отечественный софт и ИТ-оборудование, степень их необходимой локализации, а также случаи полных запретов на использование иностранных решений. При этом изменения в законодательство начнут действовать уже с 1 января 2021 года. На сентябрь 2020 года пакет поправок рассматривается Минпромторгом, Минкомсвязи и в Минюсте РФ.
Процесс импортозамещения в госкомпаниях стартовал, но регулируется он не законодательно, а директивами правительства. Так, до 1 января 2021 года предприятия должны согласовать планы замещения иностранного лицензионного программного обеспечения до 2024 года. К этому времени доля отечественного софта должна достигнуть 60%. Однако к концу 2019 года его доля составила только 10%.
Регулирование объектов критической информационной инфраструктуры, к которой относятся органы государственной власти, банки, объекты транспорта, связи, здравоохранения более жесткое. Перейти в них на преимущественное использование отечественного софта 3 июля 2019 года поручил президент Владимир Путин, а ФСТЭК предлагает полностью отказаться от иностранных ИТ-решений на подобных объектах.
Эксперты считают, что у госкомпаний возникнут трудности при переходе на ПО российского производства. Поскольку на рынке отечественного софта нередко отсутствуют продукты, которые полностью покрывали бы функциональность зарубежных программ[32].
ЦБ: переход банков на российское ПО нужно отложить до 2025 года
12 августа 2020 года стало известно о том, что ЦБ РФ согласился с российскими банками по поводу отсрочки перехода финансового сектора на российское ПО. Пока инициатива Минкомсвязи предполагает переход на отечественное ПО с 2021 года, на оборудование — с 2022-го.
Банк России рассмотрел обращение Ассоциации банков России по вопросу планируемого перехода на приоритетное использование российского ПО и ИТ-оборудования на объектах критической информационной инфраструктуры и планирует направить в Правительство Российской Федерации и Администрацию Президента Российской Федерации предложения по переносу сроков данного перехода на 4 года до 01.01.2025, — говорится в сообщении Ассоциация банков России (АБР). |
ЦБ также попросит правительство и администрацию президента уточнить порядок перехода на преимущественное использование российского ПО и оборудования, отмечается в документе.
В АБР утверждают, что ИТ-компаний не хватает мощностей для реализации масштабного одновременного перехода объектов критической информационной инфраструктуры на отечественный софт и оборудование. Производителям придется в условиях сжатых сроков осуществлять настройку и доработку ПО и оборудования под потребности кредитных организаций, что влечет за собой риски сбоев, ошибок и инцидентов кибербезопасности.
Одномоментное замещение всего ПО и оборудования «считается крайне опасным», так как также может привести к сбою в работе информационных систем, особенно у банков, чьи сервисы работают круглосуточно без выходных. Более того, замещение ИТ-оборудования или софта собственной разработки банки считают бессмысленным, так как они соответствуют всем требованиям информационной безопасности и позволяют предлагать клиентам услуги и продукты «по наименьшей цене в кратчайшие сроки», считают в ассоциации.[33]
ФСТЭК разработала стандарт мониторинга информационной безопасности КИИ
11 августа 2020 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) представила стандарт мониторинга информационной безопасности ИТ-систем, относящихся к критической информационной инфраструктуре (КИИ).
Как указано в пояснительной записке, необходимость создания национального стандарта ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» обусловлена необходимостью контроля ИБ сложных автоматизированных систем. Разработка стандарта предполагает следующие мероприятия:
- анализ событий безопасности и иных данных мониторинга;
- контроль защищенности информации;
- анализ и оценка функционирования систем защиты информации;
- периодический анализ изменения угроз безопасности данных в ИТ-системах, возникающих в ходе эксплуатации.
Отмечается, что стандарт не устанавливает требования к программным и программно-техническим средствам мониторинга информационной безопасности, а также к мероприятиям, связанным с выявлением компьютерных инцидентов и реагированием на них.
За счет разработки стандарта для кибербезопасности КИИ планируется:
- создать условия для выполнения работ и оказания услуг по мониторингу киберзащиты ИТ-систем;
- повысить эффективность применяемых мер по информационной безопасности субъектов КИИ и других систем;
В ФСТЭК добавили, что разработка национального стандарта ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения» осуществляется в соответствии с решением заседании подкомиссии технического комитета по стандартизации «Защита информации» (ТК362) от 17 мая 2018 года.
Ранее в 2020 году вице-премьер Юрий Борисов поручил подготовить поправки к закону «О безопасности критической информационной инфраструктуры РФ», которые позволят поэтапно заменить использующееся на этих объектах иностранное оборудование на российские аналоги.[34]
Минкомсвязи РФ принимает заявки от регионов на получение субсидий на повышение безопасности КИИ
31 июля 2020 года стало известно, что Минкомсвязи РФ объявило о сборе заявок от регионов на получение в 2021 году субсидий на проекты по повышению безопасности КИИ.
Господдержка будет оказана из федерального бюджета бюджетам субъектов федерации для софинансирования мероприятий по обеспечению устойчивой работы объектов критической информационной инфраструктуры.
Финансирование проектов осуществляется в рамках составления проекта федерального бюджета на 2021 год и на плановый период 2022 и 2023 годов. Для участия в отборе регионам необходимо до 25 августа 2020 года направить в департамент информационной безопасности Минкомсвязи заявку, подготовленную в соответствии с правилами предоставления и распределения субсидий и порядком проведения конкурсного отбора, а также заполненную таблицу с информацией о проектах.
Правила предоставления грантовой поддержки утверждены Постановлением Правительства РФ № 1497 от 22 ноября 2019 года[35].
Переход банковского сектора на российское ПО оценивается в 700 млрд рублей
24 июля 2020 года стало известно о том, что переход банковского сектора на российское программное обеспечение может обойтись ему более чем в 700 млрд рублей. А расходы отдельных банков в зависимости от их размеров и масштабов обновления систем могут составить от 90 млн до 150 млрд рублей. Такую оценку совместно с ИТ-компаниями составила Ассоциация банков России (АБР). Документ направлен в комитет Госдумы по финансовому рынку.
Как пишет «Коммерсантъ» со ссылкой на это письмо, лишь в 1 из 17 классов ПО доля российского софта «превышает 50% использования». В остальных случаях преобладает иностранное ПО, причем в 10 классах его доля составляет более 90%. На собственное ПО в банках приходится в среднем менее 1,5%.
АБР оценила затраты банковской системы на переход на отечественное ПО в размере 5–7% собственных средств. В ассоциации считают, что, если прибегнуть к таким тратам, это скажется на объемах кредитования – они уменьшаться на 5-7 трлн рублей.
Перевод сложного широкофункционального программного комплекса с одного системного стека на другой (смена СУБД, операционной системы) — это проект сроком на два-три года, — комментирует председатель правления ЦФТ Андрей Висящев. |
Он добавил, что после ввода нового ПО могут возникнуть проблемы с его производительностью, совместимостью, масштабированием и надежностью. Также на разработку аналогов используемого банками ПО потребуется от $1,5 млн до $133,4 млн.
Вице-президент АБР Алексей Войлуков считает, что для перехода на российское ПО и оборудование банкам нужно около 5-7 лет. АБР предлагает отложить введение этих требований до 2027-2028 гг.
В ВТБ подчеркивают, что предлагаемый порядок перехода на отечественное ПО целесообразен только в отношении значимых объектов критической информационной структуры.[36]
Ассоциация банков России просит отложить на 4 года переход на отечественное ПО
В середине июня 2020 года стало известно о письме, которое направила Ассоциация банков России (АБР) премьер-министру Михаилу Мишустину. В нём говорится о просьбе отложить на четыре года перевод критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение.
По словам банкиров, разработанные Минкомсвязью требования «не учитывают риски масштабных перебоев функционирования объектов КИИ», а некоторые пункты «в отдельных случаях практически невыполнимы».
Согласно проекту указа президента и постановлениям правительства, разработанным Минкомсвязью, владельцы критической информационной инфраструктуры (КИИ) будут обязаны использовать российский софт с 1 января 2021 года, а российское оборудование — с 1 января 2022-го.
В банке ВТБ заметили, что за полгода невозможно провести анализ, тестирование, закупку и внедрение новых решений без угрозы серьезных проблем. В Совкомбанке указали, что нынешнее оборудование и ПО выбрано как наиболее оптимальное и интегрировано в бизнес-процессы. На это долгие годы уходила существенная доля прибыли.
По оценке АБР, для замещения всего ПО и ИТ-оборудования банкам разово придется потратить более 700 млрд рублей, а с учетом сроков эта сумма может еще больше возрасти. И даже при этом, как говорится в письме, «средние сроки замещения с учетом непрерывности деятельности и постоянной транзакционной нагрузки кредитных организаций составят не менее трех лет».
Переход российских банков на отечественный софт может потребовать 5-7 лет, считает представитель уполномоченного при президенте РФ по защите прав предпринимателей в сфере интернета Дмитрий Мариничев.
По его словам, для бесперебойного функционирования банковской системы разработчикам отечественного ПО предстоит решить вопрос не трансформации, а плавного перетекания одной системы в другую.[37]
Финансовый сектор выступил против перехода на российское ПО
8 июня 2020 года стало известно о том, что Ассоциация участников рынка электронных денег и денежных переводов (АЭД) направила Минкомсвязи письмо, в котором выступила против перехода финансовых организаций на российское программное обеспечение.
В АЭД считают, что на миграцию на отечественный софт финансовые организации должны будут направить 30% или более собственных средств, что включает расходы на лицензии и оборудование, обучение сотрудников и расходы на интеграцию. А это негативно скажется на прочности банковского сектора в условиях падения прибыли.
Участники АЭД отметили, что предлагаемые Минкомсвязи сроки по переходу на отечественное ПО с 2021 года и оборудование с 2022 года необходимо скорректировать, принимая во внимание «реальный уровень рисков для разных объектов инфраструктуры, а также потенциальное влияние новых требований на стабильность оказания финансовых услуг».
Свои предложения авторы обращения аргументируют отсутствием у некоторых широко используемых программных продуктов отечественных аналогов, поскольку у российских разработчиков нет стимулов для создания платных приложений. По словам участников АЭД, кредитные организации используют ПО с открытым исходным кодом, которое распространяется бесплатно, но при этом является импортным.
Как пишет «Коммерсантъ», перенести сроки перехода просит и Национальный совет финансового рынка: по предварительным оценкам, замена ПО и оборудования в средних по величине организациях повлечет расходы в несколько миллиардов рублей, в крупных — в несколько десятков миллиардов.
Партнер группы консультирования в ИТ KPMG в России и СНГ Оксана Борисова считает нереальными сроки по переводу банков на российское ПО, учитывая, что тестирование перенос данных обычно занимает от одного года до нескольких лет.[38]
Минкомсвязи предложило сроки перехода критической инфраструктуры на отечественное ПО и оборудование
20 мая 2020 года стало известно о том, что Минкомсвязи предлагает обязать владельцев критической информационной инфраструктуры (КИИ), перейти на преимущественное использование российского софта с 2021 года, а оборудования — с 1 января 2022-го. Такие сроки указаны в проекте указа президента, которое ведомство направило на согласование в Минпромторг, ФСБ и ФСТЭК.
Согласно документу, на который ссылается РБК, владельцам КИИ предлагается разрешить использовать только софт из реестров российских и произведенных в ЕАЭС программ, и только оборудование, упомянутое в реестре российской радиоэлектронной продукции, за исключением случаев, когда у зарубежной продукции нет отечественных аналогов.
В случае сохранения зарубежного софта и оборудования за его техподдержку и модернизацию должны будут будут отвечать российские организации, не находящиеся под прямым или косвенным контролем иностранных компаний или граждан.
Власти должны утвердить порядок перехода на отечественное оборудование и ПО до сентября 2020 года.
В аппарате вице-премьера Юрия Борисова, курирующего оборонную промышленность, отметили, что поддерживают инициативу Минкомсвязи.
Сам документ пока не видели, – сообщил РБК представитель вице-премьера. |
Опрошенные изданием эксперты сошлись во мнении, что для перехода на отечественное ПО и оборудование нужно не полгода, а несколько лет. Впрочем, уход с иностранного софта и «железа» не должен стать сюрпризом для владельцев КИИ — это обсуждается давно, отметил представитель «Крока» Андрей Заикин.
По мнению исполнительного директора компании «Акронис Инфозащита» Елены Бочеровой, принятие проекта в текущем виде «может означать качественный поворот в программе импортозамещения, так как выйдет за пределы существующих критериев, которые затрагивают преимущественно госорганы и некоторые госкомпании, на целые секторы экономики».[39]
«Элвис-Плюс» предложил защищенное решение для удаленного доступа к объектам КИИ
12 мая 2020 года компания ЭЛВИС-ПЛЮС представила защищенное решение для удаленного доступа к объектам критической информационной инфраструктуры, которое включает в себя:
- аппаратный тонкий клиент АПК «ЗАСТАВА-ТК», осуществляющий подключение к сети объекта КИИ с использованием терминального доступа и VDI с высокой степенью защищённости;
- смарт-карты/USB-токены ESMART Token ГОСТ производства компании ISBC для двухфакторной аутентификации и хранения ключей/сертификатов пользователей;
- систему контроля действий администраторов и пользователей на основе решений CyberArk Privileged Access Security Solution или IT-Bastion СКДПУ, которая обеспечивает полный контроль и мониторинг удаленных подключений при выполнении задач по администрированию и контролю функционирования объектов КИИ. Подробнее здесь.
Astra Linux разработала инструкции по организации безопасной «удаленки» для КИИ средствами Astra Linux SE
27 марта 2020 года компания Astra Linux сообщила, что в связи с распространением коронавируса разработала инструкции, которые помогут средствами ОС специального назначения Astra Linux Special Edition (ОС СН) релиз "Смоленск" настроить дистанционный режим работы и обеспечить безопасность объектов КИИ в соответствии с рекомендациями ФСТЭК России. Подробнее здесь.
ФСТЭК поясняет, как обеспечить безопасность удаленной работы для работников субъектов КИИ
26 марта 2020 года TAdviser стало известно, что Федеральная служба по техническому и экспортному контролю опубликовала ряд рекомендаций[40] по обеспечению безопасности субъектов критической информационной инфраструктуры в условиях пандемии коронавируса COVID-19. Эти рекомендации целиком связаны с удаленной работой сотрудников организаций, относящихся к КИИ.
Как справедливо указывается в рекомендациях, удаленный доступ работников к объектам критической информационной инфраструктуры создает некоторые риски. В частности, возникает угрозы несанкционированного доступа и воздействием на объекты, относящиеся к КИИ.
В публикации ФСТЭК прямо говорится о недопустимости в дистанционном режиме предоставлять удаленный доступ для какого-либо управления режимами функционирования промышленного или технологического оборудования автоматизированных систем управления производственными и технологическими процессами объектов критической информационной инфраструктуры.
В остальном рекомендовано централизованно выделить работникам, уходящим на «удаленку», средства вычислительной техники, через которые они смогут получать доступ к рабочей информации, предварительно проведя их инвентаризацию, снабдив антивирусными средствами и обеспечив идентификацию их MAC-адресов на серверах объектов КИИ.
Доступ к рабочим ресурсам с таких устройств должен быть реализован по методу «белого списка» и только через VPN-соединения. Обеспечивать работникам доступ с личных устройств не рекомендовано. Мало того, на рабочих СВТ предлагается заблокировать установку постороннего ПО.
Также ФСТЭК советует определить перечень информации и информационных ресурсов (программ, томов, каталогов, файлов), расположенных на серверах объектов критической информационной инфраструктуры, к которым в принципе будет предоставляться удаленный доступ и назначить минимально необходимые права и привилегии пользователям, уходящим на удаленную работу.
Настоятельно рекомендуется исключить возможность эксплуатации удаленных средств вычислительной техники посторонними лицами; реализовать двухфакторную аутентификацию работникам удаленных СВТ так, чтобы один из факторов обеспечивался «устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ».
Среди прочих рекомендаций - формирование отдельного домена для работников, управление которым должно осуществляться с серверов субъекта критической информационной инфраструктуры, и присвоение каждому удаленному СВТ сетевого (доменного) имени; а также обеспечение мониторинга безопасности объектов КИИ с ведением журналов регистрации действий работников удаленных СВТ и их анализа, блокировка сеанса удаленного доступа, если пользователь неактивен более установленного времени.
Рекомендовано также - правда, без какой-либо конкретики, - обеспечить возможность оперативного реагирования и принятия мер защиты информации при возникновении компьютерных инцидентов.
Все приведенные рекомендации ФСТЭК по обеспечению безопасности удаленной работы, с одной стороны, не новы, с другой - универсальны. В сущности, это компиляция проверенных и в России, и на Западе best practices. Они вполне пригодны к использованию не только в период пандемии и не только в отношении объектов критической информационной инфраструктуры. В идеале этим рекомендациям должен следовать любой бизнес, в котором хотя бы часть сотрудников работает на удалении. Кроме того, субъектам критической информационной инфраструктуры «рекомендуется руководствоваться рекомендациями Национального координационного центра по компьютерным инцидентам и центров мониторинга информационной безопасности, имеющих соответствующие лицензии ФСТЭК России, по вопросам компьютерных атак в условиях распространения коронавирусной инфекции, в том числе размещенными на веб-ресурсе safe-surf.ru, считает Олег Галушкин, генеральный директор компании SEC Consult Services
|
Аналогичные рекомендации ФСТЭК направила в федеральные органы исполнительной власти.
Путин поручил ФСБ уделить особое внимание защите критической ИТ-инфраструктуры
Президент России Владимир Путин поручил ФСБ уделить особое внимание защите критической ИТ-инфраструктуры. Об этом глава государства рассказал на расширенном заседании коллегии ведомства, которое состоялось 20 февраля 2020 года.
В частности, Путин попросил ФСБ сосредоточиться на защите компьютерных систем органов власти, государственных электронных сервисов, операторов связи, банковских организаций и крупных компаний, расширять возможности государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Сейчас в ряде стран уже созданы специальные центры для проведения таких акций, разрабатываются стратегии превентивного применения киберсредств. По мере бурного развития цифровых технологий мощность такого информационного оружия, безусловно, будет только нарастать. Нам нужно это не просто учитывать, а соответствующим образом, с опережением строить свою работу по защите интересов России, — сообщил президент. |
Он также отметил, что в руки ФСБ стоит передать контроль обеспечения безопасности в процессе развития технологий 5G и спутниковых коммуникаций.
Кроме того, Владимир Путин обратил внимание на важность укрепления авторитет России как надёжного международного партнёра в области информационной безопасности, прежде всего за счёт развития сотрудничества с другими странами и организациями. Заметный вклад в этом должен внести Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который был создан в 2018 году, подчеркнул он.
Помимо прочего, российский лидер отметил востребованность ресурсов «международного банка данных по противодействию терроризму, к которому в прошлом году подключились еще семь спецслужб иностранных государств и один специализированный орган международной организации».[41]
2019
Минэк предлагает перевести банки, нефтяные и энергообъекты на российское ПО и оборудование
1 ноября 2019 года стало известно о предложении Минэкономразвития запретить использовать иностранное программное обеспечение и оборудование в системах критической информационной инфраструктуры (КИИ), включая сети связи банков, транспортных, нефтяных и энергических объектов.
Об этом говорится в письме заместителя министра экономики Азера Талыбова, направленном в коллегию Военно-промышленной комиссии России, Федеральную службу по техническому и экспортному контролю (ФСТЭК) и Минкомсвязи.
Талыбов предложил дополнить закон «О безопасности КИИ» нормой, обязывающей владельцев использовать только российское оборудование и софт, а также запретить иностранным компаниям «обеспечивать взаимодействие» с сетями и ИТ-системами критической инфраструктуры.
Замминистра также заявил о необходимости закрепить на законодательном уровне положение о том, что у юридических лиц, обеспечивающих взаимодействие сетей и систем критической инфраструктуры, конечными бенефициарами должны быть граждане России без двойного гражданства. Аналогичные требования, как ожидается, будут касаться и индивидуальных предпринимателей, взаимодействующих с объектами КИИ.
Такой подход позволит снизить уровень доступа со стороны иностранных государств и иностранных граждан при обслуживании и развитии объектов критической информационной инфраструктуры, — считает он. |
Консультант по информационной безопасности Cisco Алексей Лукацкий говорит, что, по данным ФСБ и ФСТЭК, в России функционирует около 1 млн объектов КИИ, каждый из которых состоит из десятков или сотен компьютеров или иных типов устройств. По словам экспертов, у российских производителей нет мощностей для замены иностранного ПО и оборудования на таком количестве объектов.[42]
Данные о кибератаках на критические объекты в РФ утекают за рубеж
Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК» со ссылкой на материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК), которая в свою очередь ссылается на ФСБ. Подробнее здесь.
ФСТЭК и ФСБ введут ответственность за нарушение требований к критической ИТ-инфраструктуре России
На Федеральном портале проектов нормативных правовых 26 марта 2019 года размещено уведомление о начале разработки проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)». Подробнее здесь.
Строительство "суверенного Рунета" подорожало на 10 млрд рублей
Реализация проекта суверенного российского интернета затребует больших инвестиций, чем заявляли авторы инициативы. Согласно опубликованному на сайте АНО «Цифровая экономика» обновленному Паспорту федерального проекта «Информационная безопасность», расходы на этот проект вырастут на 10 млрд руб. по сравнению с ранее названной суммой[43].
Публикация обновленного Паспорта – это первая официальная оценка расходов на безопасность российского интернета. Ранее эта информация в свободном доступе отсутствовала, и впервые о весьма приблизительных суммах стало известно лишь в первых числах февраля 2019 г. из заявления одного из авторов инициативы сенатора Андрея Клишаса. По его словам, сумма вложений в проект превысила бы 20 млрд руб., без более точных цифр.
По новым подсчетам, затраты на обеспечение безопасности Рунета превысят 30 млрд руб. (около $500 млн по курсу ЦБ на 26 марта 2019 г.). Всего же на реализацию проектов, перечисленных в новой версии Паспорта, потребуется около 50 млрд руб.
ФСТЭК предлагает запретить обработку за рубежом информации, относящейся к КИИ России
Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) 6 марта 2019 года опубликовала на Федеральном портале проектов нормативных правовых актов проект изменений в приказ №239 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Подробнее здесь.
Элементы критической гражданской инфраструктуры РФ разместили в тестовой виртуальной машине за 5 тыс руб
Отопительная система целого региона в России оказалась в прямой зависимости от функционирования одной тестовой виртуальной машины, арендованной за копейки у крупного облачного провайдера. Именно такой вывод следует из публикации в социальной сети Facebook, сделанной 28 января 2019 года директором по развитию компании LanCloud Сергея Ерина.
Когда у тебя в облаке взяли в тест виртуалочку за 5000р., разместили в ней систему управления котельными, а даже телефон суппорта не записали, потом нашли тебя в соц. сетях, и говорят, что виртуалочка что-то зависла, а у тебя сегодня есть все шансы попасть на первый канал в прайм-тайм как виновника замерзания населения целого региона, — написал Ерин, приложив скриншот переписки с представителем некоей организации, отвечающей, судя по всему, за работу теплосетей на большой территории. |
Собеседник Ерина, имя и юзерпик которого на скриншоте тщательно замаскированы, просит срочно обеспечить работоспособность сервера, поскольку в нем «стоят программы которые отвечают за работоспособность котельных во многих населенных пунктах» (пунктуация авторская), и сетует на то, что если на «центральный диспетчерский пункт не поступят оперативные данные с сервера», то последствия будут «очень плохими»: ущерб составит миллионы и десятки миллионов рублей.[44]
В разговоре с корреспондентом TAdviser Сергей Ерин категорически отказался называть клиента, с которым он общался, сославшись на соглашение о конфиденциальности и соображения этического характера.
Он также отметил, что всю информацию можно воспринимать только как «очень условно-достоверную».
Но если исходить из того, что неназванный клиент действительно установил в тестовую виртуальную среду системы управления котельными, то речь здесь идет как минимум о критическом нарушении самых базовых правил безопасности критических систем.
Первое, что необходимо отметить, что LanCloud несет ответственность исключительно в рамках пользовательского соглашения, если таковое имело место, а там точно не прописана возможность использования тестовых серверов для критически значимых объектов инфраструктуры, — считает Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — А все остальные вопросы связаны с некомпетентностью или патологическим желанием сэкономить. Скорее всего, ситуация не уникальна, так как реальных механизмов отслеживания «инициатив на местах» не существует, а до момента возникновения проблем никто ничего и не узнает, и наш отечественный «авось» может скрывать множество аналогичных ситуаций. |
Публикация Ерина набрала существенное количество горьких или издевательских комментариев в адрес «эффективных менеджеров», принимающих подобные решения.
На следующий день после публикации TAdviser, Сергей Ерин сообщил изданию, что:
- "Скриншот с обозначенной беседой был сделан около 2 лет назад, и в данный момент всё описанное не актуально. Чтобы никто не паниковал и не пытался проецировать эти события на какие-либо текущие проблемы".
- "Нужно понимать, что слова Заказчика на скриншоте никак невозможно проверить, т.к. мы как сервис-провайдер, не обладаем информацией о том, что реально размещается внутри виртуальных машин клиентов. И с высокой долей вероятности клиент просто мог «придумать» данные аргументы, чтобы приоритизировать выполнение своей заявки".
- "Ну и последнее, чтобы так же не было спекуляций, из вашего скриншота на сайте уберите часть текста «а у тебя сегодня есть все шансы попасть на первый канал в прайм-тайм, как виновника замерзания населения целого региона.» - т.к. я вам сообщаю, что сам Клиент это не писал, это моё личное саркастическое заключение, сделанное, исходя из описанной клиентом критичности проблемы. Т.к. данная часть текста читается неоднозначно, и может быть воспринята, как слова клиента в мой адрес. Собственно из скриншота переписки с клиентом видно, что он этого не писал".
- Свою публикацию в соцсети Facebook он удалил "только потому, что после публикации новости, вокруг данного поста возникли спекуляции, что какие-то регионы прямо сейчас где-то замерзают, по причине описанного события, и люди обращаются ко мне за разъяснениями и поиском виновных, хотя я к этому не имею никакого отношения. Также хотелось бы отметить, что цель поста была не в том, чтобы привлечь внимание общественности к проблеме (которой вероятнее всего не существует), а скорее показать, какие потенциальные риски и ответственность могут возникать у нас, как у облачного провайдера, даже с клиентами на такие небольшие суммы, как 5000 р./мес".
2018
Зафиксировано 4,3 млрд кибератак на КИИ России
В 2018 году выявлено 4,3 млрд кибератак на критическую информационную инфраструктуру (КИИ) РФ, об этом стало известно 12 декабря 2018 года от заместителя директора Национального координационного центра по компьютерным инцидентам Николай Мурашов. Эксперт отметил, что только на информационную инфраструктуру российского Чемпионата мира по футболу было совершено более 25 млн вредоносных воздействий.
В декабре 2017 года ФСБ в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) создала техническую инфраструктуру Национального координационного центра по компьютерным инцидентам (НКЦКИ).
Представители ФСТЭК заявляли, что в 2019 г. планируется перейти к этапу построения системы безопасности, в рамках мер, предписанных законом 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". Заместитель директора ФСТЭК Виталий Лютиков рассказал о том, что идет инвентаризация и категорирование объектов, подпадающих под действие 187-ФЗ, и процедуру прошли пока лишь 500 объектов, еще а на 25 тыс. ведутся соответствующие работы. По его оценке, из 13 отраслей наиболее активны энергетика, ТЭК, оборонно-промышленный комплекс и медицина, наименее - телеком и банки. В 2019 году процесс категорирования планировали завершить и перейти к следующему этапу - построению системы безопасности.
По словам Николая Мурашова, в последнее время компьютерные атаки, их источники и последствия часто обсуждают в зарубежных СМИ. Западные медиа активно закрепляют в общественном мнении тезис: за большинством атак стоит Российская Федерация, она вмешивается в политические процессы других стран, в том числе и в выборные. При этом обвинения не подтверждаются никакими достоверными техническими данными, которые могут быть проанализированы экспертами. Также, по мнению Николая Мурашова, иностранные источники информации предпочитают не вспоминать о том, что информационное пространство России является неотъемлемой частью глобального и, как следствие, разделяет все его проблемы. Информационное пространство Российской Федерации является целью изощренных и хорошо организованных компьютерных атак. Методы и средства для подготовки их постоянно совершенствуются. Эффективное противодействие данным атакам возможно только в рамках совместных усилий всех заинтересованных сторон. Прежде всего национальных уполномоченных органов в области их обнаружения и предупреждения
По словам Николая Мурашова, во многих странах, в том числе в США, Великобритании и Франции, в многомиллиардный бизнес вовлечено более 40 крупных фирм, которые занимаются разработкой вредоносных программ.
Количество кибератак на объекты критической информационной инфраструктуры увеличилось. Это связано, с одной стороны, с различным уровнем защищенности объектов, а с другой - с доступностью информации, когда инструменты и сведения для совершения атак можно найти в открытом доступе. Андрей Юршев, ведущий эксперт ГК InfoWatch
|
В ближайшие годы мы будем наблюдать рост и разнообразие угроз. Это обусловлено двумя факторами. Во-первых, увеличением количества систем автоматизации и, как следствие, каналов управления и передачи информации внутри технологического объекта и связывающих объект с другими объектами и с внешним миром, в том числе через интернет, а также увеличением разнообразия средств автоматизации на предприятии, что увеличивает поверхность атаки и сложность защиты промышленных предприятий. Во-вторых, увеличение количества организаций и лиц, имеющих непосредственный или удаленный доступ к системам автоматизации, что расширяет возможности злоумышленников при организации и проведении атак. Евгений Гончаров, руководитель ICS CERT "Лаборатории Касперского"
|
Вскоре мы увидим атаки с политической окраской - как операции кибершпионажа, так и саботаж. В последнем случае приоритетная цель атакующих - промышленные предприятия и объекты критической инфраструктуры. С большой долей вероятности возможен взлом облачных сервисов. Не исключаем, что в 2019 г. жертвой станет крупный CERT или SOC-центр. |
Как в поисках заработка атакуют критическую инфраструктуру России
Несколько организаций, относящихся к критической инфраструктуре России, подверглись серии кибератак, сообщил 11 декабря 2018 года интернет-ресурс Security Week. И если поначалу эксперты по безопасности, изучавшие их, заподозрили, что речь идёт о киберкампании, организованной какой-либо недружественной спецслужбой, то дальнейшие исследования показали, что с наибольшей вероятностью злоумышленники действовали из сугубо коммерческих интересов.
Объектами атак стали компания "Роснефть" и два десятка других крупных российских организаций, в том числе относящихся к таким стратегическим отраслям, как нефтепереработка, газовая и химическая промышленность, сельское хозяйство и т.д. Злоумышленники также пытались атаковать несколько крупных российских бирж.
Для проведения атак создавались сайты, которые были почти неотличимы от легитимных веб-ресурсов, принадлежавших вышеперечисленным организациям. Доменные имена подделок могли отличаться от подлинных всего на одну букву. С поддельных сайтов распространялись документы, содержавшие вредоносный код. Как установили эксперты, речь шла о вариации вредоносной программы RedControle, которая открывает бэкдор в целевой системе и позволяет выводить конфиденциальные сведения.
Исследованием атак занималась компания Cylance. Её эксперты обратили внимание на то, что большая часть пострадавших организаций так или иначе контролируются российским правительством, и предположили, что речь идёт о политически-мотивированной киберкампании. Однако чем дольше проводились исследования, тем больше специалисты Cylance убеждались в том, что речь идёт об "обычном" криминале, не имеющем политической подоплёки.
Насколько успешны были атаки, Cylance судить не берётся, поскольку ни одна из атакованных организаций не является клиентом фирмы. Однако эксперты выяснили, что кампания длится как минимум три года.
Скорее всего, речь идёт о форме мошенничества под названием Business Email Compromise (компрометация деловой электронной переписки). Злоумышленники сначала собирают данные о конкретных лицах с помощью кейлоггеров, затем проводят разведку среди работников этой организации, с которыми контактирует первая жертва, а после пытаются заманить новые жертвы на свои поддельные сайты, чтобы собрать дополнительную информацию и реквизиты доступа.
В процессе злоумышленники, осуществившие компрометацию десятков почтовых аккаунтов, могут заходить в них и от имени их реальных владельцев менять банковские реквизиты или какими-то ещё способами переводить финансовые средства на контролируемые ими счета, — пояснил директор по исследованию угроз Cylance Кевин Левилли (Kevin Levilli). |
Интересно, что эксперты Cylance обнаружили свидетельства тому, что ранее те же самые злоумышленники атаковали пользователей игровых платформ, в частности, Steam. Во всех случаях хакеры использовали одно и то же вредоносное ПО, практически без изменений.
Ещё год назад на создание сайтов-клонов обратила внимание российская компания Group-IB. Соответствующий материал был опубликован Forbes.[46] При этом эксперты Cylance отмечают, что знакомы с этой публикацией, и что и они, и Group-IB исследовали одну и ту же киберкриминальную операцию. Которая, кстати, скорее всего продолжается.[47]
Вполне вероятно, что сама по себе данная кампания является финансово-мотивированной, — считает Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". — Но нельзя исключать и того, что данными, собранными в результате этой операции, могут позднее воспользоваться спецслужбы недружественных стран для проведения уже вполне реальных "кибервоенных" атак. Спецслужбы всех стран так или иначе взаимодействуют с хакерами, и вряд ли будет ошибкой предположить, что и в данном случае у злоумышленников были свои кураторы в соответствующих структурах. |
Подробное техническое описание кампании доступно на сайте Cylance.[48]
Операторов КИИ обяжут информировать ФСБ о кибератаках
Как стало известно в марте 2018 года, ФСБ России планирует обязать владельцев предприятий, относящихся к критической инфраструктуре, информировать Службу о направленных на них кибератаках.[49] На Федеральном портале проектов нормативных правовых актов опубликован проект приказа "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" и приложение к нему, описывающее саму процедуру. Согласно этому документу, субъекты КИИ обязаны будут сообщать в ФСБ "обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ".
Субъекты критической инфраструктуры обязаны будут незамедлительно передавать сведения о кибератаке в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Создание такого центра было анонсировано ещё в 2015 году. В конце 2017 года был опубликован проект приказа директора ФСБ о создании этого центра, но окончательно этот документ ещё не принят. Его проектный вариант доступен на сайте www.garant.ru.[50]
НКЦКИ будет призван координировать все мероприятия по реагированию на компьютерные инциденты и непосредственно участвовать в таких мероприятиях. Через него будет осуществляться обмен информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами других стран, а также международными неправительственными организациями и экспертами по информационной безопасности.
Кроме того, центр будет осуществлять информирование субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В проекте приказа отмечается, что в тех случаях, когда компьютерный инцидент связан с функционированием объекта КИИ, осуществляющего деятельность в банковской сфере и в иных сферах финансового рынка, одновременно с информированием ФСБ России о таком компьютерном инциденте также информируется Центральный банк Российской Федерации.
Приказ предписывает субъектам КИИ подготовку плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, который включает: технические характеристики и состав значимых объектов КИИ; события (условия), при наступлении которых осуществляется ввод в действие данного плана; мероприятия по реагированию и ликвидации последствий атак, время, отведённое на их реализацию, и силы субъекта КИИ, ответственные за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.
Минимум раз в год на мощностях субъекта КИИ будут проводиться тренировки по отработке этого плана с последующим внесением в них необходимых корректив.
Субъектам КИИ также предписывается вместе с НКЦКИ разработать и согласовать с 8 центром ФСБ России специальный регламент, описывающий условия, при которых к мероприятиям по реагированию на компьютерные инциденты будут привлекаться должностные лица ФСБ.
Необходимость привлекать экспертов Федеральной службы безопасности к мероприятиям по защите объектов критической инфраструктуры при кибератаках вряд ли кто-то станет оспаривать. Но соответствующие процедуры должны быть жёстко регламентированы, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEQ (ранее SEC Consult Services). — Удивительно, что соответствующие нормативные документы не были приняты ранее, учитывая, что дискуссии об уязвимости критической инфраструктуры во всём мире ведутся уже несколько лет, и имели место реальные инциденты с многомиллионым ущербом. |
2017
Операторы раскритиковали законопроект об инфраструктуре Рунета
"Большая четверка" операторов – "ВымпелКом", "МегаФон", МТС и Tele2 – направили обращение в адрес главы Минкомсвязи Николая Никифорова. В нем они высказали свои оценки законопроекту о защите критической инфраструктуры Рунета, пишет в октябре 2017 года "Коммерсантъ".
Компании выразили опасения, что документ может лишить их иностранных акционеров с долей более 20%. Также они сообщили, что информация о том, что через зарубежные точки обмена проходит 60% российского трафика, неверна. По их информации, реальная доля – около 1%, поскольку стоимость пропуска трафика через зарубежные маршруты высока. В итоге авторам письма не ясно, почему "точки обмена трафиком оцениваются как объекты критической инфраструктуры".
В Минкомсвязи изданию сообщили, что министерство ведет "конструктивный диалог" с операторами по данному вопросу. Однако с негативным отзывом на законопроект также готово выступить Минэкономразвития, где сообщили, что документ пока что проходит оценку регулирующего воздействия.
Минфин раскритиковал законопроект о критической инфраструктуре Рунета
Минфин направил отрицательный отзыв на законопроект Минкомсвязи, который предполагает меры по обеспечению безопасности критической инфраструктуры российского сегмента интернета в случае внешнего воздействия. Как пишет РБК, основной причиной отказа стало отсутствие точной информации об объемах и источниках финансирования.
"Представленное финансово-экономическое обоснование не содержит сведений об объеме средств за регистрацию [доменов] и их части, планируемой на ГИС "Интернет", что не позволяет в полной мере оценить расходы на ее создание и поддержание и дать оценку финансовых последствий принятия законопроекта для бюджетов бюджетной системы России", - говорится в тексте отзыва.
По данным издания, в Минфине предложили доработать законопроект, представив финансово-экономическое обоснование. По оценкам наблюдателей, затраты на реализацию инициативы Минкомсвязи могут составить порядка 1,5 млрд рублей, плюс ежегодные расходы в размере около 40 млн рублей.
Что грозит за неправомерное воздействие на критическую ИТ-инфраструктуру России
С 1 января 2018 года в России вступает в силу закон «О безопасности критической информационной инфраструктуры Российской Федерации» и принятые одновременно с ним изменения в УК, описывающие наказание за нанесение ущерба критической инфраструктуре страны. Подробнее здесь.
Совет Федерации одобрил введение уголовной ответственности за атаки на критическую ИТ-инфраструктуру
19 июля стало известно о том, что Совет Федерации одобрил закон «О безопасности критической информационной инфраструктуры», разработанный Федеральной службой безопасности (ФСБ) и внесенный в Госдуму Правительством в декабре 2016 г. Документ вступит в силу с начала 2018 г.[51]
Закон вводит классификацию объектов критической информационной инфраструктуры и предполагает создание реестра таких объектов, при этом определяет права и обязанности как владельцев объектов, так и органов, которые эти объекты защищают. Орган, на который будет возложена ответственность за обеспечение безопасности инфраструктуры, пока не назначен.
Документ также предполагает создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информацоинные ресурсы России (ГосСОПКА), которая обеспечит сбор и обмен информацией о компьютерных атаках.
Одновременно с одобрением закона «О безопасности критической информационной инфраструктуры РФ», были утверждены проистекающие из него поправки в законы «О связи», «О государственной тайне», «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», а также поправки в Уголовный кодекс РФ. Так, в главе 28 Уголовного кодекса «Преступления в сфере компьютерной информации» появится статья 274.1, которая предусматривает наказание за вред, причиненный объектам критической информационной инфраструктуры.
Госдума разрешила сажать хакеров на 10 лет за атаки на КИИ
В июле 2017 года Нижняя палата российского парламента приняла в третьем, заключительном, чтении законопроект, вводящий уголовную ответственность за компьютерные атаки на критическую информационную инфраструктуру.[52]
Законопроект предусматривает, что в Уголовный кодекс будет внесена статья «Неправомерное воздействие на критическую информационную инфраструктуру РФ», максимальное наказание по которой составит 10 лет лишения свободы с запретом занимать определенные должности или заниматься определенной деятельностью.
Документ предстоит одобрить Совету Федерации и подписать Президенту РФ. Ожидается, что он вступит в силу с 1 января 2018 года.
Уголовное наказание за кибератаки — часть пакета законопроектов о критической информационной инфраструктуре, внесенного правительством в Госдуму в декабре 2016 года. Пакет законопроектов, одобренный нижней палатой российского парламента, в частности, вводит понятие «критической информационной инфраструктуры» и устанавливает полномочия госорганов по обеспечению ее безопасности.
2013: Указ президента Путина о создании системы защиты информационных ресурсов
В январе 2013 г. президент Владимир Путин подписал указ о создании в России системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, расположенные в стране и в дипломатических представительствах и консульских учреждениях России за рубежом.
Ее ключевыми задачами, в соответствии с указом президента, должно стать прогнозирование ситуаций в области обеспечения [[информационной безопасности, обеспечение взаимодействия владельцев ИТ-ресурсов при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, с операторами связи и другими организациями, осуществляющими деятельность по защите информации. В список задач системы также входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов.
Организацию работ по созданию государственной анти-хакерской системы Путин поручил ФСБ.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
- ↑ Глава Минцифры считает, что "опоздавших" все же вынудят перевести КИИ на российский софт
- ↑ ОБЕСПЕЧЕНИЕ ЦИФРОВОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ОТ УГРОЗ – ПРОГРАММА СТАНДАРТИЗАЦИИ ПРОГРАММНО-АППАРАТНОГО ОБЕСПЕЧЕНИЯ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
- ↑ «Росатом», «Газпром нефть» и «Роскосмос» хотят отложить переход на российский софт
- ↑ О внесении изменений в постановление Правительства Российской Федерации от 14 ноября 2023 г. № 1912
- ↑ Правительство может получить допполномочия по переводу КИИ на российские "железо" и софт
- ↑ Ключевые предприятия перейдут на отечественный софт и IT-оборудование к 2030 году
- ↑ Минцифры может включить локализацию в оценку независимости КИИ
- ↑ Минцифры готовит законопроект о принципах определения критичности инфраструктуры
- ↑ Правительство решило закрыть лазейку для закупок иностранного ПО
- ↑ Михаил Мишустин дал поручения по итогам стратегической сессии об импортозамещении программного обеспечения в отраслях
- ↑ Стратегическая сессия об импортозамещении программного обеспечения в отраслях
- ↑ Импортозамещение пойдет по плану
- ↑ Минпромторг предлагает спланировать переход КИИ
- ↑ Путин поддержал запрет зарубежного ПО на негосударственной информационной инфраструктуре
- ↑ Указ Президента Российской Федерации от 30.03.2022 № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации"
- ↑ An update on Ukraine, Russia and Belarus
- ↑ Проект импортозамещения вызвал критику в администрации президента
- ↑ Перевод КИИ на российское «железо» и ПО может повлечь «необоснованные расходы» бизнеса и государства
- ↑ Шохин оценил в ₽1 трлн затраты бизнеса из-за перехода на российский софт Он попросил освободить банки и мобильных операторов от требований такой локализации
- ↑ В России вводятся штрафы за нарушение защиты критической ИТ-инфраструктуры
- ↑ Минцифры хочет на год ускорить переход на российское ПО для критической инфраструктуры
- ↑ Минцифры доработало проект постановления о требованиях к ПО и оборудованию для объектов КИИ
- ↑ Объектам КИИ прописали отечественное
- ↑ Импортозамещение просят притормозить. Порядок перехода на российские IT-решения может быть снова пересмотрен
- ↑ Банки просят передать ЦБ контроль над переходом на отечественный софт
- ↑ Импортозамещению дали три года. Переход на отечественное ПО для критически важных IT-систем отсрочен
- ↑ Касперская попросила президента ускорить перевод банков на российское ПО Это нужно для обеспечения нацбезопасности, но затраты на переход превысят ₽700 млрд
- ↑ Банки попросили ЦБ продлить срок перехода на российское ПО и оборудование Затраты на выполнение таких требований они оценивают в ₽700 млрд
- ↑ Указ
- ↑ Банки и ТЭК обяжут перейти на российское оборудование и софт к 2025 году
- ↑ ФСТЭК подписал указ об использовании отечественного ПО на объектах критической инфраструктуры
- ↑ В Совете Федерации предложили госкорпорации и госкомпании отнести к объектам критической информационной инфраструктуры
- ↑ Банк России поддержал предложения Ассоциации по переносу сроков перехода на преимущественное использование российского ПО и ИТ-оборудования
- ↑ Пояснительная записка к проекту ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения»
- ↑ Минкомсвязи РФ объявило о сборе заявок от регионов на получение в 2021 году субсидий на проекты по повышению безопасности КИИ
- ↑ Банкирам дорог отечественный софт. Переход на него в банках оценили в 150 млрд руб
- ↑ К инфраструктуре отнеслись критически
- ↑ Вопросы философтии
- ↑ Промышленности и банкам дадут полгода для перехода на отечественное ПО
- ↑ Рекомендации gо обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры
- ↑ Президент поручил ФСБ уделить особое внимание защите критической информационной инфраструктуры
- ↑ Минэк предложил перевести банки и ТЭК на российский софт и оборудование
- ↑ России впервые назвали затраты на суверенный интернет. Сумма на 10 млрд больше, чем ожидалась
- ↑ Публикация директора по развитию LanCloud Сергея Ерина в Facebook от 28 января 2019 года
- ↑ КИИ атаковали 4,3 млрд раз за год
- ↑ Атака клонов: как работают схемы с фейковыми сайтами «Роснефти» и других крупных компаний
- ↑ Russian Critical Infrastructure Targeted by Profit-Driven Cybercriminals
- ↑ Poking the Bear: Three-Year Campaign Targets Russian Critical Infrastructure
- ↑ Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
- ↑ Проект Приказа ФСБ России "О Национальном координационном центре по компьютерным инцидентам" (подготовлен ФСБ России 26.12.2017)
- ↑ Совет Федерации ввел уголовное наказание за атаки на критическую ИТ-инфраструктуру
- ↑ Госдума разрешила сажать хакеров на 10 лет