Рубрикатор |
Статьи |
Николай УЛЬРИХ | 18 апреля 2023 |
Как вам укажут: ИТ-трансформация по указу № 250
Как соблюсти требования президентского указа № 250 к защите критически важных систем и данных и чем чревато промедление в этом вопросе?
Суть времени в формате документа
В начале 2022 г. был издан указ президента, радикально меняющий ландшафт ИТ-инфраструктуры в масштабах страны. После старта волны санкций и без того широкий спектр ИТ- и ИБ-рисков расширился еще больше. Последовали контршаги с российской стороны, одним из которых и стал Указ Президента РФ от 01.05.2022 № 250. Этот документ предполагает, что начиная с января 2025 г. российские компании должны прекратить использование любых ИБ-инструментов и ресурсов из текущей версии списка недружественных иностранных государств (более 25 стран, включая США, Великобританию и членов ЕС).
Почему это так важно? Дело в том, что изменения, предписываемые указом, влекут за собой серьезные последствия. Под его действие непосредственно подпадают государственные организации и органы власти, стратегические предприятия и госкорпорации, относящиеся к критической информационной инфраструктуре (КИИ), системообразующие и системно значимые предприятия. Потенциальный охват, по оценке компании ITglobal.com, составляет около 500 тыс. организаций.
Поскольку цифровая трансформация продолжается, и изменения усиливаются программами импортозамещения, на предприятия и организации ложится дополнительная нагрузка. Они должны предпринимать шаги для обеспечения соответствия новым нормам.
Что обязаны сделать компании, подпадающие под действие указа? В самом общем виде список требований таков:
- назначить заместителя генерального директора, отвечающего за выполнение ИБ-задач и сценариев реагирования на кибератаки и обладающего соответствующими полномочиями. Он должен иметь профильное образование или пройти обучение на курсах переподготовки в объеме 400 ч;
- создать отдельное ИБ-подразделение с функцией реагирования на кибератаки;
- привлекать ИТ-подрядчиков, имеющих лицензию ФСТЭК на осуществление технической деятельности по защите конфиденциальной информации;
- работать с аккредитованными государственными системными центрами обнаружения, предупреждения и ликвидации последствий кибератак (ГосСОПКА);
- предоставлять ФСБ неограниченный доступ к ИТ-инфраструктуре по запросу для мониторинга безопасности.
Риски невыполнения
Что будет, если ничего не делать или не торопиться с выполнением перечисленных требований? Это грозит наступлением ответственности в рамках административного и уголовного кодексов РФ.
Также может быть усилен контроль со стороны ФСБ в случае, если компания продолжает использовать ИБ-решения, инструменты и сервисы, предоставляемые провайдерами и вендорами из списка «недружественных» стран. Аналогичные меры могут быть применены, если услуги кибербезопасности оказывает компания, не имеющая лицензии ФСТЭК.
Минимизировать риски можно, внедрив соответствующие ИБ-решения от провайдеров из РФ или стран, не входящих в список (Китай, Индия, Израиль), либо заключить договор с ИБ-поставщиком, сертифицированным ФСТЭК.
Централизованные информационные системы, используемые российскими подразделениями глобальных компаний (например, SAP) могут стать предметом дополнительной проверки со стороны ФСБ (тесты на проникновение, сканирование уязвимостей) в соответствии с указом. Решением может стать локализация данных (carve-out) и экземпляров информационных систем на территории РФ.
Четыре стратегии
Весь спектр возможных сценариев поведения организаций, подпадающих под действие указа № 250, можно разделить на четыре основных блока.
1. «Ждем»
Пассивный подход, когда бизнес предпочитает ничего не делать и ждать развития ситуации. Плюсы: не требуется немедленных затрат или ресурсов, т.е. компания может не тратить деньги и время на инициативы, которые могут не принести результатов. Ничего не делать – ничего не стоит.
Этот подход может быть полезен в ситуациях, когда существует большая неопределенность, и бизнес не знает, что делать дальше. Выжидание может дать время для сбора дополнительной информации и оценки ситуации перед принятием решения.
Однако бездействие не позволяет компании снизить риски или использовать открывающиеся возможности. В некоторых случаях это может привести к упущенной выгоде или крупным убыткам, вплоть до приостановки бизнеса, особенно на быстро меняющихся рынках. Кроме того, выжидая, компания может привлечь повышенное внимание со стороны регулирующих органов.
2. «Готовимся»
Стратегия направлена на обеспечение базовых превентивных мер для систем, инфраструктурных услуг и компетенций без перехода к carve-out. Она относительно проста в реализации, не требует сложных изменений в системах и инфраструктуре.
Суть этого варианта действий в том, чтобы сначала оценить риски и выявить наиболее вероятные из них, затем определить попадающие в зону риска подразделения и компоненты ИТ-ландшафта, после чего подготовить стратегию локализации (в том числе и инструментов ИБ), содержащую мероприятия для достижения «быстрых побед» и последующей трансформации ИТ- и ИБ-ландшафта.
Также она включает в себя комплекс шагов по обеспечению непрерывности бизнеса. Это гарантирует, что в случае какой-либо катастрофы или непредвиденного события организация продолжит работать и предоставлять услуги.
Стратегия учитывает значительный объем рисков, которые могут повлиять на деятельность организации: киберугрозы, стихийные бедствия и другие непредвиденные события. С ее помощью можно выполнить требования регулирования и локальных нормативных актов, что снижает риск юридических санкций и финансовых штрафов.
Реализация этой стратегии может потребовать параллельного запуска ИТ-систем, что означает одновременную работу дублирующего контура для резервирования и обеспечения бесперебойности.
3. Полный carve-out
Carve-out подразумевает локальное развертывание ландшафта, повторяющего глобальный, с последующим наполнением его данными российского подразделения.
Базовые инфраструктурные сервисы и пользовательская история создаются с нуля при необходимости. Основная задача – локализовать все необходимые бизнес-процессы на тех же решениях, что и у материнских организаций, при этом полностью локализовать и импортозаместить инструменты ИБ и выстроить локальную систему кибербезопасности.
Стратегия включает в себя задачи непрерывности бизнеса, что гарантирует продолжение деятельности без каких-либо перерывов в случае непредвиденных событий. В нее также входят задачи комплаенса. Это особенно важно, когда основная организация работает в нескольких юрисдикциях с различными нормативными требованиями.
Однако carve-out стоит денег: сюда входят расходы на создание ИТ-инфраструктуры, найм новых сотрудников и другие сопутствующие расходы. Более того, потребуются изменения в организационной структуре и бизнес-процессах.
4. «Импортозамещаем»
Полная замена всех необходимых ИT-систем на локальные решения и инфраструктуру. Главный плюс – устранение всех санкционных рисков. Благодаря локальным решениям и инфраструктуре организация не зависит от иностранных технологий или вендоров. Это снижает риск сбоев и обеспечивает соответствие нормативным требованиям.
Минусы подхода – в высочайших объемах инвестиций и ресурсов. Организации придется инвестировать в полную ИТ-перестройку на аппаратном и программном уровнях, а также нанимать и обучать персонал для управления импортозамещенными решениями. Конечно, такой проект потребует серьезных изменений в функциональной структуре и бизнес-процессах. Понадобится перепроектировать рабочие процессы и процедуры, чтобы привести их в соответствие с новой инфраструктурой и архитектурой.
Поэтому организациям следует тщательно взвесить приоритеты и ресурсы, прежде чем принимать решение в пользу этой стратегии.
Исходя из нашей практики и наблюдений за рынком, оптимальный выбор – второй сценарий – «Готовимся», – в котором также определяется целевая картина мира, т.е. закладываются основы для дальнейшего развития по сценариям carve-out или импортозамещения.
При этом оцениваются все риски, затраты на ПО, оборудование и работы, в том числе на реализацию решений и их последующее сопровождение. Проводится отбор вендоров (vendor selection), подсчитывается экономическая эффективность предстоящих шагов.
* * *
С момента выхода указа № 250 прошел почти год, однако далеко не все компании приступили к исполнению его требований. Для того чтобы полностью выполнить эти требования, осталось меньше двух лет, и этого времени может не хватить. Поэтому начать реализацию предписанных указом шагов нужно прямо сейчас, пока остаются шансы уложиться в отведенные сроки.
Николай Ульрих, директор практики инфраструктурного консалтинга и информационной безопасности, Axenix
(экс-Accenture)
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!