Как IT-директору соблюдать требования законов к импортозамещению

Об авторе: Вячеслав Володкович, генеральный директор компании «Аэродиск»

Сегодня вопросы безопасности критической информационной инфраструктуры (КИИ) и подбора отечественного оборудования становятся всё более актуальными для российских компаний. Чтобы соответствовать критериям законности и выполнять требования регулятора, им приходится учитывать ряд важных моментов и знать все сопутствующие тонкости.

Требования государства к реализации программ импортозамещения, в том числе в сфере IT, постоянно меняются, корректируются и дополняются. Так, недавно политика импортозамещения в IT получила две существенных корректировки.

Первое – это новые приказы и поправки ФСТЭК к закону «О безопасности критической информационной инфраструктуры (КИИ)». Они публиковались с определённой периодичностью уже давно, но к концу 2019 года сформировали цельную картину новых реалий.

Ситуация следующая: у всех учреждений, которые пользуются цифровыми госсервисами и/или обрабатывают персональные данные граждан России, появляется обязанность в течение определённого срока сертифицировать критическую IT-инфраструктуру (КИИ). Нужно определить, что входит в КИИ, где она располагается в IT-системе организации и как ее защищать.

Исходя из приказов ФСТЭК, КИИ считаются любые компоненты IT-инфраструктуры, которые подключены к государственным IT-сервисам, сетям и системам и/или обеспечивают хранение и обработку персональных данных. Принадлежат ли эти компоненты государственным организациям, коммерческим компаниям или индивидуальным предпринимателям – не имеет значения.

Согласно приказам ФСТЭК, КИИ будут функционировать более безопасно с использованием российского ПО и оборудования: использование импортных разработок частично попадает под запрет, т.к. запрещается предоставлять доступ к компонентам КИИ иностранным компаниям, а также аффилированным подрядчикам. К примеру, если в вашей компании установлен зарубежный сервер, который является частью КИИ, и ему требуется поддержка производителя (а любая сложная система, как правило, требует регулярной поддержки производителя) – с определённого момента в 2021 году оказать её будет попросту невозможно, не нарушив приказ ФСТЭК.

В КИИ более не должно быть программно-аппаратных компонентов, которые напрямую или опосредованно поддерживаются зарубежными компаниями, вне зависимости от региона происхождения этих компаний. США, Китай, страны ЕС – все они одинаково попадают под запрет.

Тонкости аудита

Сертификация на первом этапе подразумевает аудит, который поможет определить состав КИИ в каждом конкретном случае. По итогам аудита нужно будет отчитаться сотрудникам регулятора, затем пройти проверку, и только по её результатам пройдет окончательная сертификация.

Насколько это критично? На одной большой IT-конференции в сентябре 2019 года, где присутствовало много разных чиновников и специалистов по IT от госорганов и бизнеса, выступал офицер ФСТЭК. В конце выступления он сказал: «До сентября этого года все предприятия должны были подать заявку на аудит КИИ. Если не подали, то ответственным лицам может грозить лишение свободы на срок от трёх до пяти лет». Зал оживился, воспрянул ото сна.

Вывод: сегодня следует обращать повышенное внимание на порядок сертификации и на все режимы, которые будут вводиться приказами и поправками. По-хорошему всем госчиновникам и управленцам от IT надо быть в контакте со ФСТЭК и смотреть, что и в какие сроки им необходимо сделать, чтобы соответствовать текущим нормам законодательства.

Ответственность за безответственность

Второй блок перемен касается IT-импортозамещения, а именно новой ответственности за нарушения требований закона в отношении КИИ. Развивая ранее приведенный пример: допустим, зарубежная компания (или аффилированный с ней подрядчик) пришла в госструктуру и получила доступ к «святая святых», информационной инфраструктуре. За это для IT-директора теперь наступает ответственность. В зависимости от вида нарушения она бывает двух видов. Первый – за эпизоды «причинения вреда», второй – за «нарушение условий эксплуатации».

В первом случае подразумевается прямая поломка элемента КИИ, произошедшая в результате такого несанкционированного доступа. Это уголовная статья. Второй случай, когда несанкционированный доступ был предоставлен, но прямого вреда нанесено не было, относится к «нарушениям условий эксплуатации». К уголовной ответственности это не приведёт, но повлечет штрафы, а также дисквалификацию ответственного сотрудника, что, по сути, ставит крест на его карьере в госструктурах. Такого специалиста увольняют и ему больше нельзя занимать любые должности на госслужбе в течение определённого срока. Плюс на него самого и на организацию накладывается штраф.

Есть и более глобальные изменения в части ответственности. В конце декабря 2019 года вышло постановление правительства РФ № 1746. Оно запрещает всем госучреждениям закупку систем и устройств хранения данных иностранного производства вне зависимости от целей использования, будь то задачи обеспечения КИИ или установка на всех прочих участках своей IT-инфраструктуры. Наступает ответственность по факту использования СХД не из списка, указанного в реестре Министерства промышленности и торговли по классификатору 26.20.2. Это значит, что, если государственное учреждение захочет купить систему хранения данных, оно должно покупать только то, что есть в этом реестре.

Искушение нарушением

В результате всех нововведений сложилась любопытная картина. Реестр образовали совсем недавно, в него успело попасть крайне мало отечественных решений. А именно – всего три. Одно – это решение «Купол», второе – «Татлин». Это, по сути, одно и тоже решение от одного производителя, но с разными названиями. И оно, во-первых, стоит очень больших денег. А во-вторых, не совсем отечественное, так как выполнено на базе оборудования, программного обеспечения и процессоров компании IBM.

Третье – «Яхонт», решение от компании «Норси-Транс», в реестре представлено несколькими разными моделями в разных ценовых диапазонах, которые созданы на российских процессорах «Эльбрус» – и их можно с полной уверенностью назвать отечественными. Можно покупать их как «Яхонт» — чистое оборудование с минимальным набором ПО. А можно как полноценную умную систему хранения с круглосуточной технической поддержкой.

В какую ситуацию сейчас попадают заказчики? С одной стороны, им явно говорят, что существуют официальные конкурсные процедуры. Если нужна СХД – идите в реестр и покупайте из списка. Или ждите, пока там не появится новое наименование с новой конфигурацией и ценой под ваши задачи и бюджет.

С другой стороны, многие предприятия привыкли использовать ранее установленные решения и менять их не хотят. Тогда возникает соблазн искать обходные пути – а именно обратиться к компаниям, которые занимаются переклейкой наклеек с условного Huawei на российские торговые марки, и выдают это за отечественные решения. Такие «производители» проводят сегодня серии вебинаров, склоняя заказчиков к незаконному обходу требований постановления. Чаще всего – через уловки при прописывании условий конкурса.

В настоящее время к постановлению готовятся ужесточающие поправки – и они будут как раз не в пользу таких «производителей». Поправки довольно скоро вступят в силу, потому что государство ориентируется на масштабы производства в России, которые активно наращиваются – и тем самым, кроме технологической независимости, развивают экономику страны, образовывая тысячи дополнительных высококвалифицированных рабочих мест. Развитие экономики путём развития внутреннего рынка – крайне актуальная задача, особенно в условиях глобального кризиса, который уже успели назвать «Величайшей депрессией».

Идите и говорите!

Резюмируя про постановление №1746: если государственному учреждению нужно приобретать систему хранения данных и конкретный чиновник или IT-директор не хочет нарушать закон, ему нужно общаться с поставщиками – смотреть решения, изучать их, тестировать. Сегодня даже ограниченный выбор систем из реестра может удовлетворить 80% общих потребностей. Уникальные задачи, требующие от IT-систем способности справляться с высокими нагрузками, пока что с помощью полностью отечественных систем не решаются. Но это вопрос времени, причем самого ближайшего – одного года.

Все сказанное также относится к коммерческим структурам, которые интегрированы с госсервисами и/или обрабатывают персональные данные. Они тоже попадают под требования о КИИ – но в каждом конкретном случае надо проводить аудит и выяснять, на каком уровне и как именно.

Также необходимо тесно общаться со ФСТЭК. Это не запрещено, это абсолютно не закрытая организация. Туда можно обратиться, прийти, поговорить, запросить материалы.

И крайне важно общаться с производителями решений, которые не призывают нарушать закон, а действуют честно и согласно его требованиям.

Главное – не думать, что всё само собой разрешится и пройдет. Для IT-директоров важно активнее взаимодействовать с ответственными за направление госструктурами; внимательно читать все постановления; уточнять у юристов, как их правильно реализовывать – и, конечно, консультироваться с реальными производителями отечественных решений.

Знание законов заключается не в том, чтобы помнить точные выдержки из их текстов и формулировки. Оно в понимании их сути и целей – то есть того, что от тебя хотят те, кто их написал. Если ты так или иначе соприкасаешься с важной государственной IT-инфраструктурой, нужно понимать и принимать всю полноту ответственности за это – или просто этим не заниматься.

Ещё один разумный сценарий: выходить на вышестоящие государственные учреждения и организовывать специальные проекты. Если у нас, например, обслуживается IT-инфраструктура атомной электростанции и для её обслуживания нужен определённый компьютер, который в России пока что произвести не могут, необходимо открывать диалог с вышестоящими структурами. Все серьёзные государственные структуры имеют достаточно прямой выход «наверх», чтобы решать такие ситуации. Государство под такие задачи активно выделяет субсидии (предусмотрены постановлением правительства РФ от 17.02.2016 №109 и от 30.04.2019 №529) – и это, в свою очередь, помогает ускорить реальное развитие реальных отечественных разработок.