Сложности в оценке рисков инфраструктуры беспокоят операторов

Сразу несколько собеседников в российских операторах связи пожаловались на неопределенность в вопросе, какие программно-аппаратные комплексы (ПАКи) они должны относить к критической информационной инфраструктуре.

«В действующем законодательстве определение ПАКа неоднозначно и требует конкретизации. Также необходимо разъяснить порядок отнесения объектов критической информационной инфраструктуры к ПАКам», — отметил один из собеседников, близкий к крупной российской телекоммуникационной компании.

Что такое критическая информационная инфраструктура

К критической информационной инфраструктуре относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных и ряда других компаний, в том числе телекоммуникационных. Согласно принятому в 2017 году закону, все владельцы подобной инфраструктуры должны присвоить своим объектам одну из трех категорий — процесс «идентификации» продолжается. За нарушение требований по обеспечению информационной безопасности подобных объектов предусмотрены штрафы, административная и уголовная ответственность.

По указу президента от 30 марта 2022 года госорганам и другим госзаказчикам запрещено использовать иностранный софт на принадлежащих им значимых объектах критической информационной инфраструктуры.

Что требует Минцифры

В середине июня заместитель министра цифровых технологий Александр Шойтов разослал операторам связи письмо, в котором просил до 26 июня предоставить информацию об используемых на объектах критической информационной инфраструктуры доверенных ПАКов, комплексов, не являющихся доверенными, а также о наличии или отсутствии отечественных аналогов используемых ПАКов.

В письме Шойтов ссылается на постановление правительства №1912 от 14 ноября 2023 года, по которому владельцы критической информационной инфраструктуры должны перейти на преимущественное применение доверенных ПАКов до 2030 года. При этом с 1 сентября 2024 года не допускается использование на значимых объектах критической информационной инфраструктуры приобретенных после этой даты недоверенных ПАКов, если нет отечественных аналогов.

Среди получателей письма были более 100 операторов, в том числе «Ростелеком», МТС, «МегаФон» и «ВымпелКом» (бренд «Билайн»). Представители «Ростелекома», МТС и «ВымпелКома» отказались от комментариев. Представитель «МегаФона» сообщил, что они «ведут активную работу по переходу на отечественные ПАКи» и полностью выполняют требования законодательства.

Президент ассоциации «Ростелесеть» Олег Грищенко отметил, что у большинства операторов связи отличается подход к тому, что считать объектами критической информационной инфраструктуры. По его словам, операторы сами определяют объекты, кибератаки на которые приведут к прекращению оказания услуг связи.

Грищенко указал, что по методическим рекомендациям ФСБ и ФСТЭК сети не являются объектами критической информационной инфраструктуры — в основном это информационные системы. Проблема в том, что у многих операторов связи недостаток квалифицированных специалистов по информационной безопасности. Даже если компания находит такого специалиста, его быстро переманивают другие участники рынка.

Представитель Минцифры подтвердил отправку указанного письма, назвав это «плановой работой», и сообщил, что операторы выразили готовность перейти на российские ПАКи. Также он отметил, что перечень типов ПАКов дорабатывается вместе с телеком-отраслью и экспертным сообществом.