Компании не могут определить, какие объекты относить к КИИ из-за отсутствия четких разъяснений.
Российские операторы связи сталкиваются с серьезной проблемой: необходимо определиться, какие из их программно-аппаратных комплексов (ПАКов) следует отнести к критической информационной инфраструктуре (КИИ). Законодательство в этой области остается неоднозначным, что вызывает затруднения у многих компаний. Представитель одной из крупных телекоммуникационных компаний сообщил, что действующее определение ПАКа требует уточнений, а также необходимы разъяснения по процедуре классификации объектов КИИ.
Министерство цифровых технологий, связи и массовых коммуникаций (Минцифры) разослало письмо, в котором требует от операторов связи предоставить до 26 июня информацию о доверенных и недоверенных ПАКах, используемых на объектах КИИ, а также о наличии или отсутствии отечественных аналогов. В письме заместитель министра Александр Шойтов ссылается на постановление правительства № 1912 от 14 ноября 2023 года, которое обязывает владельцев КИИ перейти на использование доверенных ПАКов до 2030 года. С 1 сентября 2024 года не допускается использование на значимых объектах КИИ приобретенных после этой даты недоверенных ПАКов. Исключение — если нет доверенных отечественных аналогов. Более 100 операторов, включая таких гигантов, как «Ростелеком», МТС, «МегаФон» и «ВымпелКом», получили это письмо.
Президент ассоциации «Ростелесеть» Олег Грищенко сообщил, что их участники по-разному подходят к определению объектов КИИ. Операторы связи должны сами определить объекты, кибератаки на которые могут привести к прекращению оказания услуг для большого количества абонентов. По методическим рекомендациям ФСБ и ФСТЭК, сети не считаются объектами КИИ, а таковыми являются информационные системы, что до сих пор вызывает путаницу у операторов.
Грищенко отметил, что в перечне типовых объектов КИИ для отрасли связи, опубликованном Минцифры в марте, содержатся общие понятия без конкретики. В результате сотрудники ФСТЭК начали требовать от операторов в короткий срок провести категоризацию своих объектов КИИ, что может привести к проверкам прокуратуры. Различные понимания сотрудников ФСТЭК, Минцифры и операторов о том, что считать объектами КИИ, усложняют выполнение этих требований.
По словам Грищенко, операторы связи должны относить к КИИ только те информационные системы, атаки на которые приведут к прекращению оказания услуг. Например, управляемый биллинг. При этом информационные системы могут быть размещены на любом подходящем по техническим параметрам сервере, но последний не должен причисляться к ПАКам, так как не связан с биллингом неразрывно и сертифицируется отдельно. Проблема также заключается в нехватке специалистов по информационной безопасности с определенной квалификацией. Даже если такие специалисты находятся, их быстро перекупают конкуренты или они уходят из-за высокой ответственности, так как нарушение безопасности КИИ влечет уголовную ответственность.
Представитель Минцифры подтвердил отправку письма, назвав это «плановой работой». Он отметил, что операторы выразили готовность перейти на российские ПАКи, и сообщил, что перечень типов ПАКов сейчас активно дорабатывается совместно с телекоммуникационными компаниями, экспертами и научным сообщество
В Матрице безопасности выбор очевиден