Компании заставят доплатить за безопасность

Минэкономразвития дало отрицательное заключение на законопроект, подготовленный Федеральной службой по техническому и экспортному контролю (ФСТЭК). Служба, отвечающая, в частности, за противодействие иностранным техническим разведкам на территории России, разработала поправки к закону «Об информации, информационных технологиях и о защите информации». ФСТЭК хочет обязать частные компании сертифицировать информационные системы критически важных объектов.

Такие объекты есть в различных сферах экономики — в автомобильной и нефтегазовой промышленности, в энергетике, на транспорте, в телекоммуникациях и других отраслях. Многие из них управляются частными фирмами.

В ходе общественного обсуждения документа выяснилось, что телекоммуникационные операторы ожидают заметного роста расходов в случае его принятия. В законопроекте декларируется, что критически важные частные информационные системы должны соответствовать требованиям ФСБ и ФСТЭК. И если информационные системы операторов связи причислят к критически важным, на них будут распространяться требования спецслужб по защите информации. Проверить их соблюдение нельзя без раскрытия исходных кодов программ и криптографических алгоритмов — а производители зарубежного оборудования не склонны их раскрывать.

В отрасли связи широко распространены техника и программы зарубежных фирм. Если законопроект ФСТЭК будет принят, операторам связи придется переходить на отечественные средства защиты информации. Это потребует существенных издержек. Как выразился один из участников обсуждения, для не очень больших компаний затраты могут быть сравнимы со стоимостью бизнеса. По оценке самой ФСТЭК, стоимость создания системы защиты информации на одном критически важном объекте составит до 7 млн рублей.

Операторы связи считают, что в законопроекте нужно прописать принципы классификации информационных систем критически важных объектов и указать, каким документом устанавливается их перечень. Иначе оператор связи в один прекрасный день может обнаружить, что все его системы управления сетью отнесены к критически важным и ему предстоит в масштабах страны раскошелиться на сотни миллионов рублей.

Коммерческие компании, участвовавшие в обсуждении, предлагают устанавливать требования по защите информации в информационных системах только для важных государственных и военных объектов, а также объектов жизнеобеспечения (атомные и другие электростанции, системы водоснабжения, объекты управления транспортом, объекты ТЭК, гидросооружения, опасные химические производства). Еще одно предложение — определить порядок компенсации затрат негосударственным операторам на выполнение новых требований.

В результате обсуждения Минэкономразвития дало отрицательное заключение на законопроект, подготовленный ФСТЭК.

МТС, по словам представителя компании Валерии Кузьменко, в целом согласна с оценкой Минэкономразвития. Компания считает, что безопасность информационных систем не может быть обеспечена предложенными мерами. Они или технически невыполнимы, или чрезмерно обременительны — в том числе для телекоммуникационных операторов.

Президент Ассоциации региональных операторов связи Юрий Домбровский сказал «Известиям», что предложения ФСТЭК в случае их принятия существенно повлияют на доходность бизнеса. По его словам, у региональных сотовых операторов не было серьезных инцидентов, связанных с утечками информации и несанкционированным вмешательством в работу систем. Сотовые операторы «большой тройки» тоже проделали большую работу по совершенствованию защиты информации, и им удалось прекратить ранее имевшиеся проблемы в этой области. Если где и происходят утечки информации, так это по большей части в госорганах, отметил Домбровский.

Системный инженер российского представительства Cicso Systems Михаил Кадер говорит, что его компания готова выполнять требования по сертификации средств защиты информации, если они будут разумными. Если требования будут чрезмерными и иностранные компании не смогут их выполнить, операторам придется самим решать, как поступить в такой ситуации. По словам Кадера, российское оборудование на базе  российских комплектующих не сможет работать в современных высокоскоростных сетях связи. А российское оборудование, отвечающее современным требованиям, собрано из иностранных комплектующих. В процессе его сертификации возникнут те же проблемы, что и с иностранным.