Операторы связи в РФ столкнулись с проблемой оценки рисков для своей инфраструктуры

Несколько собеседников в российских операторах связи заявили РБК, что не понимают, какие свои программно‑аппаратные комплексы (ПАКи) они должны относить к критической информационной инфраструктуре. «В действующем законодательстве определение ПАКа неоднозначно и требует конкретизации. Также необходимо разъяснить порядок отнесения объектов критической информационной инфраструктуры к ПАКам», — отметил один из собеседников РБК, близкий к крупной российской телекоммуникационной компании.

В середине июня замминистра цифровых технологий, связи и массовых коммуникаций Александр Шойтов разослал операторам связи письмо, в котором просил до 26 июня предоставить информацию об используемых на объектах критической информационной инфраструктуры доверенных ПАКов; комплексов, не являющихся доверенными; а также о наличии или отсутствии отечественных аналогов используемых ПАКов.

ПАК — это набор технических и программных средств, работающих совместно для выполнения одной или нескольких сходных задач. К доверенным ПАКам относятся те, которые включают оборудование и софт, внесённые в специальные реестры и соответствуют требованиям безопасности ФСТЭК и ФСБ.

Среди получателей письма Шойтова было более 100 операторов, в том числе крупнейшие — «Ростелеком», МТС, «МегаФон» и «ВымпелКом» (бренд «Билайн»).

Представители «Ростелекома», МТС и «ВымпелКома» отказались от комментариев. Представитель «МегаФона» не стал комментировать тезис о сложностях с тем, какие ПАКи относить к критической информационной инфраструктуре. Он лишь сообщил, что они «ведут активную работу по переходу на отечественные ПАКи» на подобных объектах и по защите своих информсистем, а также что компания «полностью выполняет требования законодательства».

Как рассказал РБК Олег Грищенко, президент ассоциации «Ростелесеть», они обсудили со своими участниками объекты критической информационной инфраструктуры, которые те заявляют в ответах на обращение Минцифры, и «пришли к выводу, что у большинства отличается подход к тому, что считать таким объектом».

«По сути, операторы сами должны определить те объекты, кибератаки на которые приведут к прекращению оказания услуг связи у большого количества абонентов», — отметил Грищенко. Он указал, что по методическим рекомендациям ФСБ и ФСТЭК о том, что необходимо категорировать в сфере связи, сети не являются объектами критической информационной инфраструктуры.

По оценке «Ростелесети», операторы связи к объектам критической информационной инфраструктуры должны причислять только те информационные системы, атаки на которые приведут к прекращению оказания услуг связи. Например, управляемый биллинг. При этом информационные системы могут быть размещены на любом подходящем по техническим параметрам сервере, но последний не должен причисляться к ПАКам, так как не связан с биллингом неразрывно и сертифицируется отдельно.

Представитель Минцифры подтвердил РБК отправку указанного письма, назвав это «плановой работой». Он не стал говорить, к каким выводам пришло министерство по итогам ответов операторов о количестве доверенных ПАКов, уже используемых на сетях операторов, какова доля комплексов, для которых нет доверенных российских аналогов. Лишь отметил, что операторы «выразили готовность перейти на российские ПАКи». Также представитель Минцифры сообщил, что перечень типов ПАКов «сейчас активно дорабатывается с телеком‑отраслью, включая крупнейших операторов связи, представителей экспертного и научного сообществ».

Источник: ХАБР