Минкомсвязи предложило правила субсидирования проектов по защите КИИ
Министерство цифрового развития, связи и массовых коммуникаций РФ подготовило проект постановления, в котором прописало правила предоставления и распределения субсидий из федерального бюджета регионам на доведение уровня безопасности объектов критической информационной инфраструктуры (КИИ) до установленных законодательством требований. Господдержка пойдет на реализацию проектов в условиях действия Федерального закона от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры РФ".
Вчера Минкомсвязи опубликовало на сайте нормативно-правовых актов проект постановления Правительства РФ, разъясняющий порядок господдержки проектов по защите объектов КИИ. Субсидии будут выделять в соответствие с мероприятием "Оказание мер финансовой поддержки органам государственной власти субъектов РФ по реализации требований Федерального закона № 187" федерального проекта "Информационная безопасность" национальной программы "Цифровая экономика РФ".
В паспорте нацпрограммы указано, что на эти цели предусмотрено 150 млн руб. госфинансирования в 2020 г. и 100 млн руб. – в 2021 г. В пояснительной записке к НПА уточняется, что реализация указанных мероприятий не потребует дополнительных расходов. Объем средств уже заложен в федеральном бюджете на соответствующий финансовый год и плановый период. Как уточнил ComNews представитель Минкомсвязи Евгений Новиков, размер субсидии на каждый субъект РФ будет зависеть от требуемого объема бюджетных средств для реализации региональных проектов, отобранных на конкурсной основе.
Минкомсвязи предлагает направить субсидии на проекты (мероприятия), направленные на устойчивое функционирования объектов, в случае проведения против них компьютерных атак. Ведомство собирается поддерживать инициативы при выполнении трех условий. Во-первых, проект должен иметь правовой акт субъекта РФ, соответствующий требованиям НПА. Во-вторых, в бюджете субъекта должен быть прописан порядок выделения бюджетных ассигнований на исполнение обязательства. В-третьих, между Министерством и высшим исполнительным органом государственной власти региона должно быть заключено соглашение о предоставлении субсидии.
Участниками конкурсного отбора могут стать субъекты, реализующие в органах исполнительной государственной власти и (или) подведомственных им учреждениях проекты (мероприятия), направленные на доведение уровня безопасности объектов до установленных законодательством требований. Регионы могут подать заявки на участие в конкурсном отборе в Министерство до 20 августа 2019 г. Они будут рассматриваться до 30 августа текущего года.
Конкурсный отбор будет проводить комиссия, образованная Минкомсвязи. Победителями ведомство предлагает называть проекты (мероприятия), направленные на обеспечение устойчивого функционирования объектов более высокой значимости, исходя из присвоенной категории. Приоритет Минкомсвязи будет отдавать объектам, имеющим больший охват пользователей. Результаты появятся в течение 10 рабочих дней со дня подведения итогов конкурса на сайте Министерства.
Оценивая примерный объем субсидий, который может понадобиться объекту на выполнение требований Федерального закона № 187, начальник отдела аудита и консалтинга центра компетенций по информационной безопасности компании "Техносерв" Михаил Коптенков обратил внимание на несколько моментов. Он указал на то, что размер инвестиций будет зависеть от масштаба деятельности субъекта КИИ, количества значимых объектов, их размера и категорий значимости (чем выше категория, тем жестче требования по защите и значительнее стоимость достижения требуемого уровня безопасности). "В среднем затраты на выполнение всех обязательных требований по защите объектов КИИ начинаются от 10 млн руб. (для организаций с небольшим количеством значимых объектов третьей категории) и могут достигать нескольких сотен миллионов рублей (для крупных организаций, работающих в разных регионах РФ и имеющих множество значимых объектов КИИ разных категорий)", – привел пример Михаил Коптенков.
Руководитель отдела аналитики и спецпроектов ГК "ИнфоВотч" (InfoWatch) Андрей Арсентьев затруднился назвать точные цифры, необходимые на указанные цели. Тем не менее он привел схожие суммы, что и специалист "Техносерва". По мнению Андрея Арсентьева, защита крупного объекта КИИ высшей категории может потребовать десятков и даже сотен миллионов рублей.
Больше всего в поддержке нуждаются организации, занимающиеся научной деятельностью и деятельностью в сфере здравоохранения, полагает специалист "Техносерва". "Как правило, для данных организаций выделение средств на ИТ и ИБ не является приоритетной задачей. Уровень информатизации и автоматизации в этих областях не настолько высокий, как, например, в банковском секторе или крупных промышленных предприятиях", – замечает он. По мнению специалиста InfoWatch, в первую очередь в государственной поддержке нуждаются объекты военно-промышленного комплекса, ракетно-космические предприятия, объекты энергетики, атомной промышленности, здравоохранения и транспорта.
Михаил Коптенков признает, что принцип субсидирования актуален. "В первую очередь, он позволит организациям с небольшим количеством значимых объектов КИИ выполнить требования по защите информации. Как правило, в таких организациях бюджет расписан на год вперед, и отдельных статей под выполнение требований по КИИ просто нет. Кроме того, в соответствующие нормативные акты недавно были внесены поправки, которые устанавливают конкретные сроки выполнения требований, что не позволяет откладывать выполнение работ на неопределенный срок", – полагает он. При этом специалист "Техносерва" сомневается в том, что субсидирование существенно ускорит выполнение требований по безопасности объектов КИИ. При этом он признает, что оно точно позволит выполнить их с более высоким качеством и построить работающую систему для защиты от актуальных угроз ИБ.
Андрей Арсентьев также не сомневается в том, что процесс субсидирования нацелен на стимулирование процесса защиты объектов КИИ. Одновременно с этим он задается вопросами, удастся ли быстро запустить механизм субсидирования и будет ли выделено достаточно средств. Специалист InfoWatch также надеется на проработку вопроса создания типовых решений для защиты некоторых объектов КИИ и, соответственно, вопроса субсидирования при внедрении таких решений.