Операторы столкнулись с проблемой оценки рисков для своей инфраструктуры
Сразу несколько собеседников в российских операторах связи пожаловались РБК на проблему — какие свои программно-аппаратные комплексы (ПАКи) они должны относить к критической информационной инфраструктуре. «В действующем законодательстве определение ПАКа неоднозначно и требует конкретизации. Также необходимо разъяснить порядок отнесения объектов критической информационной инфраструктуры к ПАКам», — отметил один из собеседников РБК, близкий к крупной российской телекоммуникационной компании.
Что такое критическая информационная инфраструктура
К критической информационной инфраструктуре относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных и ряда др. компаний, в том числе телекоммуникационнных. Согласно принятому в 2017 году закону, все владельцы подобной инфраструктуры должны присвоить своим объектам одну из трех категорий (например, первая категория присваивается тем объектам, атаки на которые могут нанести наиболее существенный урон), но процесс «идентификации» еще продолжается. За нарушение требований по обеспечению информационной безопасности подобных объектов полагаются штрафы, административная и уголовная ответственность.
По указу президента от 30 марта 2022 года госорганам и другим госзаказчикам запрещено использовать иностранный софт на принадлежащих им значимых объектах критической информационной инфраструктуры.
Что требует Минцифры
В середине июня замминистра цифровых технологий, связи и массовых коммуникаций Александр Шойтов разослал операторам связи письмо (копия есть у РБК), в котором просил до 26 июня предоставить информацию об используемых на объектах критической информационной инфраструктуры доверенных ПАКов; комплексов, не являющихся доверенными; а также о наличии или отсутствии отечественных аналогов используемых ПАКов.