Журнал "Information Security/ Информационная безопасность" #2, 2023

ФСБ России объявила о необходимости аккредита- ции центров ГосСОПКА. Аккредитация должна стан- дартизовать действия сотрудников центров и улуч- шить взаимодействие между ними. Нормы Указа Президента РФ от 01.05.2022 г. № 250 не обязывают проводить аккредитацию абсолютно всех центров ГосСОПКА. Требование аккредитации распространяется только на те центры, которые оказы- вают услуги органам власти, учреждениям и организа- циям вают проводить аккредитацию абсолютно всех центров Гос- СОПКА. Требование аккредита- ции распространяется только на те центры, которые оказывают услуги органам власти, учреж- дениям и организациям (в том числе субъектам КИИ), пере- численным в п. 1 Указа Прези- дента РФ от 01.05.2022 № 250. Иными словами, требования о необходимости аккредитации не распространяются на: l центры ГосСОПКА, реализую- щие мероприятия по обнаруже- нию, предупреждению и ликви- дации последствий компьютер- ных атак и реагированию на ком- пьютерные инциденты исключи- тельно в рамках своей организа- ции (органа, учреждения); l центры ГосСОПКА, оказы- вающие услуги юридическим лицам, не входящим в список, перечисленный в п. 1. Напри- мер, если в холдинговой струк- туре есть центр ГосСОПКА, имеющий лицензию ФСТЭК России, то он вправе оказывать услуги своим дочерним (зави- симым) организациям, не являющимся субъектами КИИ (стратегическими акционерны- ми обществами, системообра- зующими организациями и т.п. 3 ) без аккредитации. Таким образом, в части "собст- венных" центров ГосСОПКА никакие дополнительные меро- приятия по аккредитации про- водить не обязательно. Относи- тельно коммерческих компаний, имеющих намерения оказывать услуги центров ГосСОПКА неопределенному кругу юриди- ческих лиц, требование о нали- чии аккредитации будет способ- ствовать росту их компетенций и созданию условий для каче- ственного оказания услуг. Технологическая независимость Одна из самых острых на сего- дняшний день (возможно, на ближайшие годы) проблем – это технологическая независимость (так называемое импортозаме- щение) критической информа- ционной инфраструктуры. В настоящий момент уста- новлены сжатые сроки пере- хода на отечественное ПО. Субъекты КИИ подготовили (по крайней мере, должны были до 18 марта 2023 г.) планы перехода и отправили их в Минцифры России и отраслевым регуляторам 4 . Однако реализация данных планов сопряжена с рядом проблем, которые, по оценкам экспертов, могут привести к невозможности перехода на отечественное ПО в установ- ленные сроки. Обычный цикл внедрения нового (с точки зрения органи- зации) ПО – непростой и дли- тельный процесс, включающий следующие этапы (см. табл.). При большом количестве раз- ных (с точки зрения архитекту- ры и используемого ПО) значи- мых объектов КИИ их полный перевод на отечественное ПО в течение двух лет является действительно серьезной про- блемой. Мероприятиями по ускорению сроков перехода на отечествен- ное ПО могут быть: l Замена этапа пилотирования стендовыми испытаниями либо его исключение. l По возможности осуществ- лять проектирование самостоя- тельно с консультативной помо- щью разработчика ПО, без при- влечения подрядчиков-проекти- ровщиков (экономит много вре- мени). l На этапе закупки готовить компонентную базу (железо) для внедрения ПО, при условии, что устанавливается на новые технические средства. l Начинать проводить обучение персонала на этапе приемочных испытаний. В рамках данного раздела я рассмотрел только вопросы перехода на отечественное программное обеспечение. Следующим шагом в части технологической независимо- сти, который ждет субъекты КИИ, будет переход на оте- чественную электронную ком- понентную базу. В настоящее время правила и подходы к вопросу перехода на отече- ственную электронную ком- понентную базу еще только формируются, поэтому оста- вим их для следующих ста- тей. l 18 • СПЕЦПРОЕКТ 4 В соответствии с требованиями, установленными постановлением Правительства РФ от 22.08.2022 г. № 1478 и Методическими рекомендациями Минцифры России от 18 января 2023 г. № 21. Этап Характеристика Выбор нового ПО Проводится анализ рынка, и на основе маркетинговой информации выбирается ПО. Важно подчеркнуть, что на данном этапе, как правило, работа идет исключительно с маркетинговой информацией Пилотирование Пробное внедрение и опытная эксплуатация выбранного ПО в рамках небольшого участка информационной инфраструктуры Проектирование Разработка технического проекта замены старого ПО на выбранное на предыдущих этапах новое. В ряде случаев замена ПО может означать, по сути, проектирование нового объекта, взамен старого Закупка Подготовка конкурсной документации и закупка в рамках конкурсных процедур. Сами по себе конкурсные процедуры достаточно растянуты во времени (речь идет о формировании плана закупки, подготовке документации и проведении самого конкурса), а также не всегда удается выбрать поставщика с первого раза (на конкурс может никто и не прийти) Внедрение Установка и настройка нового ПО. В ряде случаев установке и настройке будет предшествовать удаление старого ПО Испытания и опытная эксплуатация Приемочные испытания, в рамках которых проверяется работоспособность и функциональность ПО. Опытная эксплуатация объекта КИИ, работающего на новом ПО, которая завершается приказом о вводе в промышленную эксплуатацию Обучение персонала Обучение персонала работе с новым ПО и его администрированию Таблица Ваше мнение и вопросы присылайте по адресу is@groteck.ru Одна из самых острых на сегодняшний день (возможно, на ближайшие годы) проблем – это технологическая независимость (так называемое импортозамещение) критической информационной инфраструктуры.