ТПП попросила отложить ужесточение правил защиты информации для хостеров госсистем

ТПП попросила отложить ужесточение правил защиты информации для хостеров госсистем

изображение: grok

Торгово-промышленная палата России подготовила замечания к проекту приказа Минцифры, расширяющему круг хостинг-провайдеров, обязанных выполнять усиленные требования по защите государственных информационных систем. Палата настаивает на пересмотре сроков и дифференциации норм, предупреждая о резком росте затрат бизнеса и риске формального исполнения правил.

Проект приказа Минцифры значительно расширяет круг участников, которым предстоит соответствовать повышенным нормам защиты информации. Сегодня подобные требования распространяются на ограниченный перечень организаций, работающих с наиболее чувствительными государственными системами. После вступления документа в силу те же обязанности лягут и на компании, обслуживающие муниципальные, региональные и прочие государственные цифровые ресурсы меньшего масштаба.

Пакет обязанностей выглядит внушительно. Провайдерам придётся применять сертифицированные криптографические средства защиты, выделять вычислительные мощности для оборудования, задействованного при оперативно-розыскных мероприятиях, а также подключаться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак ГосСОПКА. Замечания палаты появились 24 июня на портале regulation.ru, а сам проект приказа был опубликован месяцем ранее.

Отмечается, что документ в нынешнем виде фактически переносит на хостеров обязанности, изначально разработанные для операторов государственных информационных систем.

Без адаптации требований под специфику отрасли компании окажутся перед сложным выбором. Первый путь — выполнять нормы формально, второй — признать, что реализовать их полностью технически или организационно почти невозможно. Оба варианта плохо сочетаются с идеей повысить реальный уровень защищённости государственных цифровых сервисов.

Финансовая сторона вопроса выглядит не менее болезненно. Перестройка процессов, изменение архитектуры площадок, внедрение новых средств защиты, аттестация и подготовка документации требуют серьёзных вложений. Палата предлагает разделить требования в зависимости от уровня защищённости конкретной системы. Единый набор правил для всех объектов, по её мнению, выглядит избыточным и игнорирует реальные различия между площадками.

Претензии касаются и сроков вступления норм в силу. Если приказ пройдёт согласование в текущей редакции, он начнёт действовать уже с 1 сентября 2026 года. Палата настаивает на переходном периоде минимум в один год, чтобы участники рынка успели адаптировать инфраструктуру и пройти необходимые процедуры без организационных потрясений.

Основные претензии бизнеса и палаты к проекту сводятся к нескольким пунктам:

  • отсутствие градации требований по классу защищённости конкретной системы;
  • слишком короткие сроки для перестройки инфраструктуры дата-центров;
  • высокая стоимость аттестации и внедрения сертифицированных криптосредств;
  • слабая совместимость отечественных криптомеханизмов с массовыми хостинговыми платформами;
  • перенос обязанностей операторов ГИС на хостеров без учёта отраслевой специфики.

Регулирование деятельности хостинг-провайдеров сформировалось ещё в 2023 году. Тогда Роскомнадзор запустил специальный реестр, без включения в который компания не вправе законно предоставлять услуги на территории страны. Позднее для организаций, работающих с государственными системами, появились отдельные условия допуска. По открытым данным сейчас в реестре 567 компаний, а «Ростелеком» получил статус провайдера для государственных информационных систем лишь в 2025 году.

В Минцифры пояснили, что подготовленный документ связан с изменениями федерального законодательства. Поправки к закону «Об информации» расширяют перечень организаций, обязанных соблюдать нормы защиты данных, и вступают в силу с сентября. Приказ должен привести подзаконные акты в соответствие с обновлёнными положениями закона. В министерстве полагают, что большинство отечественных хостеров уже располагает нужной инфраструктурой, поэтому заметного роста расходов ждать не стоит.

Рынок оценивает картину заметно осторожнее. В «Руцентре» рассказали, что компании, претендующие на статус поставщика вычислительных мощностей госсектору, уже подтягивают инфраструктуру и внутренние процессы под повышенные требования. Универсальной схемы при этом нет, поскольку инженерное устройство и программная архитектура разных дата-центров сильно отличаются друг от друга.

Директор по взаимодействию с органами власти РТК-ЦОД Дмитрий Панышев считает, что защиту цифровой инфраструктуры нужно выстраивать с учётом класса конкретной системы. По его оценке, унифицированные правила для объектов разного уровня защищённости приведут к неоправданным расходам и затруднят модернизацию действующих площадок.

Сроки внедрения недооценены, полагает генеральный директор хостинг-провайдера RUVDS Никита Цаплин. По его словам, прохождение аттестации зависит от класса защищённости данных и занимает минимум полгода, а на практике нередко растягивается свыше двенадцати месяцев. Аттестация даже сравнительно небольшой инфраструктуры, уточнил он, начинается примерно от пяти миллионов рублей, а повторная процедура обходится дешевле лишь незначительно.

Сертифицированные криптографические средства далеко не всегда совместимы с архитектурой современных хостинговых платформ, обратил внимание председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. Провайдерам, по его словам, придётся либо серьёзно переделывать собственную инфраструктуру, либо создавать отдельные изолированные площадки под каждую государственную систему, что автоматически увеличивает объём инвестиций и сроки подготовки.

Стоит обратить внимание, что даже частичное сохранение действующей редакции приказа способно спровоцировать волну ускоренных инвестиций в дата-центры, к которой готова далеко не вся отрасль.

Возможные последствия для рынка при сохранении жёсткой редакции документа выглядят так:

  • рост стоимости хостинга для государственных заказчиков;
  • уход мелких региональных провайдеров с рынка госуслуг;
  • концентрация госконтрактов у нескольких крупных игроков;
  • задержка перевода части муниципальных систем на защищённые площадки.

Пока обсуждение проекта продолжается, отрасль пытается нащупать разумный баланс между усилением защиты государственных сервисов и реальными возможностями бизнеса. Если позиция палаты будет учтена, рынок получит больше времени на адаптацию и более гибкий набор норм. Если приказ сохранит нынешнюю редакцию, многим компаниям уже в ближайшие месяцы предстоит готовиться к дорогостоящей модернизации собственных дата-центров и внутренних процессов.

Ранее сообщалось, что Минцифры России приступило к подготовке механизма оборотных штрафов для компаний, которые затягивают перевод значимых объектов критической информационной инфраструктуры на отечественное программное обеспечение. Разработкой необходимой нормативной базы ведомство планирует заняться в 2026 году. Предполагается, что оборотные штрафы станут дополнительной мерой воздействия наряду с уже действующими механизмами поддержки организаций, активно реализующих импортозамещение в сфере КИИ.

Эксперты редакции CISOCLUB заявили, что подход Торгово-промышленной палаты выглядит взвешенным и отражает реальное положение дел в отрасли. Уравнивание требований к площадкам разного класса защищённости почти всегда приводит к перекосам и перерасходу ресурсов, которые в итоге оплачивают государственные заказчики и налогоплательщики. Переходный период в один год выглядит минимально разумным сроком для перестройки инфраструктуры и прохождения аттестации у большинства провайдеров. Без такой отсрочки часть рынка рискует уйти в серую зону формального соответствия, что противоречит самой цели приказа.

Мы полагаем, что дифференциация норм по уровню значимости государственных систем позволит одновременно поднять реальную защищённость сервисов и сохранить конкуренцию среди хостеров. Финальная редакция документа во многом определит, останется ли рынок государственного хостинга в России многоукладным или превратится в поле для нескольких крупнейших игроков.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: