20 июня 2023 г.
Круглый стол «Трансформация и защита компонентов Критической Инфраструктуры» прошел в рамках второй конференции «TEGRUS Практикум 2023», организованной российским системным интегратором и поставщиком ИТ-услуг TEGRUS. Наличие в программе мероприятия активности с акцентом на данной тематике актуально в условиях повышенного внимания к вопросам регулирования в области информационной безопасности в целом и защиты информации критической информационной инфраструктуры (КИИ) РФ в частности, которое сейчас присутствует как со стороны профессионального сообщества, так и на государственном уровне. Вопросы трансформации рассматривали как в плане развития ситуации с КИИ, так и в других аспектах, имеющих отношение к национальному ИТ.
На тематике трансформации в «Практикуме» этого года был сделан особый акцент, что отражено в девизе мероприятия: «ИТ-трансформация для эффективного управления бизнесом». Мероприятие собрало более 120 специалистов — представителей как отрасли, так и заказчиков и наряду с пленарной сессией включало Экспозицию и Круглые столы. TEGRUS, который входит в «Top 30» крупнейших ИТ-компаний России, проводит «Практикум» уже второй год, возможно, он станет регулярным.
Развитие концепции: от КСИИ вчера до КИИ сегодня
Выступающие на Круглом столе отметили, что концепция КИИ в российских реалиях прошла длительный путь развития. В частности, федеральный закон №
Принятие закона №
Развитие нормативного регулирования КИИ продолжается и сейчас. Например, Минцифры РФ работает над законопроектом, в соответствии с которым, в частности, правительство будет определять перечень объектов КИИ (об этом сообщали «Ведомости»).
Совершенствование продолжается
Сегодня субъекты КИИ должны самостоятельно категорировать объекты КИИ, что, как отметили выступающие, может создавать некоторые проблемы. Напомним, что объекты КИИ подразделяют на два вида — незначимые и значимые, причем значимые объекты имеют три категории значимости (максимальная — первая, минимальная — третья), от которых зависит заданный регулятором набор мер по обеспечению информационной безопасности и другим аспектам. Данный перечень объектов, как и присвоенные им категории значимости подлежат обязательному согласованию с ФСТЭК России.
Однако такой подход позволяет субъектам КИИ некоторые объекты КИИ не относить к критической информационной инфраструктуре! Также существует возможность сознательно занижать «категорию значимости» своих объектов КИИ. Все эти действия со стороны субъектов КИИ, как отметили выступающие, имеют очевидную мотивацию (уменьшить затраты на приведение ИТ-инфраструктуры в соответствие с требованиями государственных регуляторов), но в свою очередь несут ряд очевидных рисков информационной безопасности.
КИИ: нужна дополнительная проработка
Дорабатывать, уточнять и детализировать положения нормативных документов в области КИИ можно еще достаточно долго. В новом законе будут детализированы требования к объектам КИИ, что минимизирует возможности по занижению категорий и воспрепятствует ряду других лазеек. Но это не единственный эффект, который индустрия ждет от принятия нового закона.
Кроме изменений в федеральных законах требуется приведение в соответствие ряда подзаконных актов, заметил г-н Бирюков. Выступающие на Круглом столе отметили, в частности, что в настоящее время разнятся даже подходы к категорированию объектов, причем как на государственном уровне, так и на ведомственном.
Также на практике всем участникам рынка важны уточнение и детализация нормативных требований в зависимости от отраслевой принадлежности субъектов КИИ.
Наконец, в законах и нормативных актах многое нуждается не только в доработке, но и в переработке. Например, как отметил г-н Уголев, к субъектам КИИ на текущий момент не относят водоканалы и места скопления людей (стадионы, музеи и т.п.), хотя значимость их очевидна. Проблемы развития нормативной базы вполне естественны, как отметили все выступающие на Круглом столе. Особенно в условиях повышенной динамики, которую диктует современная геополитическая ситуация, подчеркнул г-н Уголев.
Про важность баланса внутри и влияние на рынок вовне КИИ
Выступавшие на Круглом столе подчеркнули как актуальность развития нормативной базы, так и важность соблюдения баланса между требованиями государства и реальными возможностями субъектов КИИ.
Сложность и важность момента, а также необходимость упомянутого баланса прекрасно понимают все участники процесса — от специалистов по ИБ на стороне индустрии и заказчиков до представителей государственных регуляторов. Наличие такого понимания, бесспорно, вселяет оптимизм.
Заметим, что развитие концепции и совершенствование нормативной базы в области КИИ положительно влияют на ряд направлений национального ИТ-рынка и даже отдельных продуктовых сегментов. В качестве примера продуктов г-н Коростелев отметил сегмент средств защиты информации (в частности Next-Generation Firewall, NGFW), которые в данном случае получили дополнительный драйвер развития.
Вместо заключения
Заметим, что на необходимости кооперации в развитии национального ИТ во вступительном слове на открытии «TEGRUS Практикум 2023» особый акцент сделал Максим Маковский, генеральный менеджер TEGRUS. На рынке уже существуют разнообразные кейсы успешной кооперации самых разных структур, отметил он. Сказанное полностью справедливо и для сегмента КИИ, где кооперация государственных структур, игроков рынка и госструктур особенно важна.
IT Channel News — информационный партнер конференции «TEGRUS Практикум 2023»
Источник: Александр Маляревский, внештатный обозреватель IT Channel News