Безопасность опасается затрат // ТПП просит отложить расширение требований к провайдерам госсистем
Безопасность опасается затрат
ТПП просит отложить расширение требований к провайдерам госсистем
Эксперты Торгово-промышленной палаты (ТПП) подготовили замечания к проекту требований Минцифры к хостинг-провайдерам для государственных IT-систем, где предлагается распространить строгие требования по безопасности на более широкий круг компаний. Там считают, что предложенное расширение требований по безопасности на провайдеров, которые сейчас работают только с малыми госсистемами, может повлечь рост их расходов.
Фото: Евгений Разумный, Коммерсантъ
“Ъ” ознакомился с позицией экспертов ТПП РФ по проекту приказа Минцифры об утверждении требований по защите данных для провайдеров хостинга, которые работают с государственными информсистемами, а также муниципальными и прочими госсистемами. Ключевым изменением является то, что сейчас требования по обеспечению безопасности распространяются только на семь хостинг-провайдеров, допущенных к работе с основными IT-госсистемами, тогда как по новым правилам требования будут распространяться и на компании, которые обсуживают муниципальные и иные менее крупные госсистемы. Среди требований: использование средств криптографической защиты информации, предоставление вычислительных мощностей для технических средств, используемых при оперативно-разыскных мероприятиях, взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствия компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Отзыв опубликован на regulation.ru 24 июня, сам проект приказа — 25 мая.
Принятие проекта приказа несет риски для провайдеров хостинга, пишут эксперты ТПП, поскольку возложение на них требований, изначально предназначенных для операторов ГИС, без адаптации приведет «либо к формальному исполнению, либо фактическому неисполнению требований». Исполнение же правил может привести к повышению затрат компаний на их реализацию, анализ и встраивание в работу. Кроме того, эксперты ТПП просят разделить требования к компаниям в зависимости от уровня значимости и класса защищенности той или иной ИС, размещаемой у провайдера хостинга. Также они предлагают ввести переходный период не менее 12 месяцев — в случае принятия в текущем виде приказ вступит в силу с 1 сентября 2026 года.
Регулирование хостинг-провайдеров появилось в 2023 году. Оно в том числе закрепляло требование о наличии компании в специальном реестре Роскомнадзора, без этого провайдер не имеет право работать в РФ. Отдельные требования были разработаны для провайдеров ГИС, они также должны быть в реестре, а кроме того соответствовать дополнительным требованиям. Например, «Ростелеком» вошел в перечень провайдеров хостинга для ГИС только в 2025 году. По открытым данным, всего сейчас в реестре хостинг-провайдеров 567 компаний.
Поправки к закону «Об информации», которые расширяют перечень систем, обязанных соблюдать требования к защите информации для операторов ГИС, вступают в силу с 1 сентября, и проект приказа актуализирует нормы с учетом расширенного круга организаций, сообщили в Минцифры. При этом большинство провайдеров хостинга уже соблюдают требования и обладают необходимой инфраструктурой. «Затраты отрасли вырастут незначительно»,— добавили в министерстве.
Для включения в профильный реестр хостинг-провайдеры приводят свою инфраструктуру и организационные процессы в соответствие с повышенными требованиями к защите информации и после этого претендуют на статус поставщика вычислительных мощностей для госсектора, говорят в «Руцентре». Однако инженерная и IТ-архитектура дата-центров различаются, и затраты для выполнения новых требований будут существенными, считает директор по взаимодействию с органами власти РТК-ЦОД Дмитрий Панышев. «Требования по защите IT-инфраструктуры должны быть систематизированы в соответствии с классом информсистем»,— отмечает он.
В зависимости от классов защищенности данных нужна разная аттестация, и при необходимости ее прохождения или перепрохождения компаниям потребуется минимум шесть месяцев, а скорее всего — и более года, оценивает гендиректор хостинг-провайдера RUVDS Никита Цаплин: «Аттестация даже относительно небольшого объема инфраструктуры начинается от 5 млн руб. Переаттестация дешевле, но масштабы примерно те же». Также классические сертифицированные криптографические средства защиты часто «плохо дружат» с технологическим фундаментом современного хостинга, говорит председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. Провайдеру придется либо капитально перекроить свою архитектуру, либо создавать выделенные «стерильные» зоны под каждую ГИС, говорит он.
How it works
Once you click Generate, Ollama reads this article and crafts 5 comprehension questions. Your answers are graded against the article content — general knowledge won't be enough. Score 70+ to count toward your certificate.
Questions are cached — you'll always get the same 5 for this article.