17 октября 2024 г.

Основная интрига осеннего сезона в российском ИТ: успеют ли российские предприятия, попавшие под требования Указа № 250, реализовать требуемое импортозамещение, перейдя на доверенные средства защиты информации (СИЗ) к 1 января 2025 года? Пока ФСТЭК не намерен вы­ходить с ини­циа­ти­вой отод­ви­нуть сро­ки вы­пол­не­ния ука­зов, но ста­нет по­могать тем, кто к их вы­пол­не­нию не го­тов, как было отмечено в выступлениях на BIS Summit 2024. Ситуация сложная, допускающая различные варианты разрешения, и оставляющая простор для оценок перспектив дальнейшего развития событий.

Еще раз про Указ

Действие Указа Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» от 1 мая 2022 года распространяется на органы государственной власти, госкомпании, системообразующие предприятия и субъекты КИИ. Точное количество компаний, попавших под действие Указа, назвать сложно.

Напомним, например, что список субъектов КИИ, определяемый Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 г., не является открытой информацией, а также он не фиксирован — его пополняют по мере прохождения категорирования объектов КИИ. Список расширяют согласно изменениям в законодательстве; например, согласно Федеральному закону № 312-ФЗ от 10.07.2023 к объектам КИИ добавлены госорганы, госучреждения, юрлица и ИП, которым на правах собственности, аренды или на ином основании принадлежат информационные системы, функционирующие в сфере государственной регистрации прав на недвижимое имущество и сделок с ним.

Для понимания ситуации важно, что под действие Указа № 250 попадает огромное количество структур. Под него может попасть даже ИП, которому принадлежит информационная система, обслуживающая, например, структуры госрегистрации прав на недвижимость. Общее количество структур, которые должны перейти на российские СИЗ, по некоторым экспертным оценкам составляет до полумиллиона, как, например, сообщают «Ведомости».

Также важно, что для соблюдения требований Указа нужно переходить на доверенные СИЗ. Присутствия внедряемого продукта в Реестрах недостаточно, нужно получение дополнительных документов от регуляторов, а на это тоже требуется время.

Требования Указа несколько шире, чем необходимость к 1 января 2025 отказаться от средств защиты, созданных в недружественных странах, выполнив переход на доверенные российские решения. Структурам, попавшим под действие Указа, с января можно приобретать ИБ-услуги только у организаций, имеющих лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации. Также этим структурам нужно обеспечить мониторинг ИБ-рекомендаций, направленных на нейтрализацию актуальных угроз, список которых рассылают ФСБ и ФСТЭК. Наконец, попавшим под действие Указа предписано создать выделенное структурное подразделение, отвечающего за «кибербез», причем глава такой структуры напрямую подчинен генеральному директору.

Как все выглядит в реальности

Казалось бы, тут особого варианта для трактовок нет — требования Указа нужно выполнять, сказал Игорь Ляпунов, генеральный директор компании «Солар», выступая в октябре на GIS days 2024. Однако далеко не всегда можно технически выполнить это.

В силу огромного фронта работ и нехватки специалистов по ИБ выполнить нужное к указанному сроку проблематично. Напомним, что задача гораздо шире, чем покупка и установка СИЗов, отвечающих требованиям Указа. Каждый СИЗ нужно установить, настроить, интегрировать с другими компонентами как ИБ-системы, так и других элементов ИТ-рельефа, а также научиться им управлять. Последнее тоже важно в условиях дефицита кадров.

«По данным Минцифры России, дефицит кадров в ИТ-отрасли в стране составляет в 500-700 тысяч человек. А согласно исследованию АНО „Цифровая экономика“ и портала hh.ru, в сегменте информационной безопасности этот спрос — один из самых высоких», — говорит Ильназ Гатауллин, технический директор центра мониторинга и реагирования на кибератаки МТС RED SOC.

Заметим, что в рассматриваемой ситуации все усложняется, ведь с новыми СИЗ умеют работать не все: как отметила Елена Иванчихина, директор GeekSource в ГК ANCOR, резко выросла потребность в высокопрофессиональных специалистах с фокусом на такие направления как импортозамещение и локализация.

В результате по самым оптимистическим оценкам от прошедшего лета, к 1 января требования Указа не выполнят более половины — точнее 59% — средних и крупных компаний с критической информационной инфраструктурой, сообщают «Ведомости» со ссылкой на данные компании «К2 Кибербезопасность». О полной замене российскими аналогами всех СИЗ, попадающий под действия Указа, сообщили 19%, на середину лета рассчитывали успеть до конца года еще 22%. Если учесть, что субъектами КИИ могут быть компании меньшего размера — даже ИП, как мы отмечали выше! — а под Указ попадают корпоративные заказчики других типов, то в общем картина получается достаточно печальная.

Есть и более оптимистичные прогнозы; например, Наталья Касперская, президент ГК InfoWatch, говорит о 5% компаний, которые не успеют, ссылаясь на данные анонимного опроса, проведенного на BIS Summit 2024.

Окончание следует

Источник: Александр Маляревский, внештатный обозреватель IT Channel News