Регулирование КИИ: что это значит для операторов связи
Сергей Сосин, руководитель группы продуктового менеджмента NexignСергей Сосин, руководитель группы продуктового менеджмента NexignТребования законодательства в области импортозамещения программного обеспечения (ПО) для телеком-отрасли ужесточаются с каждым годом. Появляются новые сроки, новые процедуры аудитов информационных систем, ситуация меняется динамически. Например, с 1 января 2025 года субъекты критической информационной инфраструктуры (КИИ) не смогут использовать средства защиты информации из недружественных стран, а госорганам и госзаказчикам нужно будет полностью перейти на отечественный софт. Замена ПО — это длительный процесс, который требует подготовки и большой работы, и о нем необходимо задуматься заранее. Как новые законы затрагивают российских операторов связи и какие меры они предпринимают в области замещения ПО, рассказал Сергей Сосин, руководитель группы продуктового менеджмента Nexign, ведущего поставщика BSS-систем и решений для цифровизации бизнеса.
КИИ в телекоме
Прежде чем перейти к рассуждению о том, как текущая ситуация влияет на ИТ-ландшафт оператора, стоит обратиться к терминологии, связанной с КИИ. История регулирования КИИ в телеком-индустрии началась задолго до кризисного 2022 года. Базовый нормативный акт, который устанавливает, что такое КИИ и кто за нее отвечает, появился в 2017 году. Это федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26 июля 2017 года. Согласно этому закону все операторы связи являются субъектами КИИ и попадают под его действие. Следовательно, все информационные системы операторов автоматически признаются объектами КИИ, и к ним предъявляются повышенные требования безопасности. Операторы должны провести процедуру категорирования всех своих систем — те из них, которым будет присвоена категория, становятся значимыми (ЗО КИИ), и именно их касается государственное регулирование.
Как операторы категорируют КИИ
Есть три категории объектов КИИ в порядке убывания значимости: первая, вторая и третья. При их присвоении оцениваются такие факторы как социальная, политическая, экономическая и экологическая значимость, а также значимость для обеспечения безопасности государства и правопорядка. Категория — это главный показатель объектов КИИ, который определяет набор необходимых организационных и технических мер их защиты. Однако объект КИИ может не соответствовать ни одному из установленных критериев. В этом случае ему не присваивается категория и он не становится значимым. Так, сети связи с количеством абонентов до 3000 относятся к не категорированным объектам КИИ, а вся "большая четверка" — это первая категория.
В соответствии с требованиями регулятора оператор обязан собрать комиссию, которая определит, какие процессы организации являются критическими и какие объекты их реализуют. Обычно в нее входят представители группы управления оператора связи, но иногда дополнительно привлекают аудиторов. Комиссия формирует перечень объектов КИИ, подлежащих категорированию, и направляет его в федеральную службу по техническому и экспортному контролю (ФСТЭК). В рамках категорирования также происходит сбор и анализ исходных данных, оформление и отправка в ФСТЭК соответствующих документов. Оператор обязан провести инвентаризацию информационных, программных и технических систем, даже если у него нет ЗО КИИ. Весь процесс должен быть задокументирован: информация о результатах присвоения объекту КИИ одной из категорий значимости либо о ее отсутствии отправляется регулятору. Кроме того, оператор в любом случае должен передавать сведения о компьютерных инцидентах в государственную систему предотвращения и обнаружения компьютерных атак (ГосСОПКА). Повторное категорирование объекта КИИ проходит не реже, чем один раз в пять лет.
Сегодня операторы сами создают комиссию, категорируют свои объекты КИИ и отправляют данные в ФСТЭК. Но государственные законы ужесточают контроль государства в сфере определения ЗО КИИ и обеспечения их безопасности. Например, согласно указу №166 от 30 марта 2022 года, госорганам и госкомпаниям запрещается использовать иностранное ПО на ЗО КИИ с 1 января 2025 года. Кроме того, в марте этого года в Госдуму был внесен законопроект Минцифры о переходе субъектов КИИ на отечественное ПО и радиоэлектронную продукцию. Он предлагает поправки к закону №187-ФЗ и предполагает, что правительство сможет определять типы информационных систем, которые относятся к значимым, для каждой отрасли. Это связано с тем, что при самостоятельном категорировании объектов КИИ компании зачастую минимизируют количество ЗО КИИ. Кроме того, согласно законопроекту, правительство сможет определять случаи использования радиоэлектронной продукции и иностранного ПО, а также сроки перевода этой продукции на российские решения на объектах КИИ. Временные рамки импортозамещения будут связаны с готовностью отечественных решений и будут контролироваться отраслевыми ведомствами.
Кроме того, категорирование объекта КИИ влечет за собой необходимость выполнять соответствующие требования безопасности — начиная от внедрения соответствующей парольной политики и заканчивая опечаткой шкафов. Для защиты ЗО КИИ операторы должны проанализировать риски и уязвимости КИИ и построить модель угроз безопасности. Она подразумевает описание свойств и характеристик потенциальных и реальных угроз и нацелена на определение всех условий и факторов, проводящих к нарушению безопасности информации и работы ИТ-систем.
Какие системы оператора относятся к объектам КИИ
Объекты КИИ оператора включают технологии и ПО, которые влияют на ключевые базовые сервисы связи: звонки, СМС и передачу данных. Категория объекта КИИ зависит от объема влияния элемента на абонентскую базу, а сам процесс категорирования занимает несколько месяцев для крупного оператора. Отнесение объекта к КИИ влечет за собой финансовые затраты и затраты на изменение всей инфраструктуры. Например, для выполнения требования указа №166 об импортозамещении, который сейчас касается только госзаказчиков, компаниям нужно целиком поменять контур, начиная от железа и заканчивая переделкой ПО, то есть полностью заменить архитектуру рабочего решения. Каждая новая система должна пройти комиссию по категорированию. Если оператор доказывает, что системы не влияют на абонентскую базу, они не категорируются.
Какие конкретно системы оператора могут попасть под определение ЗО КИИ? В первую очередь, конечно, это системы онлайн-тарификации и элементы ядра сети, поскольку стабильность их работы влияет на абонентов. В ядре сети это, например, ПО для маршрутизации сигнального трафика (DRA, STP), системы мониторинга работы радиосети. Могут также быть категорированы системы обслуживания клиента, например, личный кабинет, поскольку там хранятся персональные данные. Также на ЦИПР обсуждалось, что в ближайшее время весь контур OCS и BSS будет отнесен регулятором к ЗО КИИ.
Задача импортозамещения
В связи с уже сложившимся трендом на импортозамещение и последними законами переход на отечественное ПО и оборудование остается одной из ключевых задач телеком-операторов. Ключевые системы большинства поставщиков услуг связи включают иностранные СУБД, сервера и системы виртуализации. Важно отметить, что все операторы большой четверки пока не попадают под требования указа №166, поскольку являются коммерческими структурами. Но законодательство меняется динамично, и уже сейчас нужно быть готовыми к новым требованиям, изучать рынок отечественного ПО, обеспечивающего непрерывную жизнедеятельность операторов. Единственный существенный законодательный акт, который касается их в области импортозамещения ПО сегодня — это указ №250 о запрете на использование средств защиты информации, произведенных в недружественных странах, с 1 января 2025 года. Из продуктов, которыми пользуются операторы, туда, например, относится система единого входа и авторизации.
При замене иностранных систем важно сохранять непрерывность бизнес-процессов, повышать их эффективность и безопасность. Индустриальные центры компетенций (ИЦК) "Мобильная связь" и "Фиксированная связь" ведут важную работу по идентификации "белых пятен" в российских продуктах, анализу предлагаемого на рынке отечественного ПО. На решениях Nexign работают федеральные операторы связи России, поэтому мы активно участвуем в работе ИЦК, а также продолжаем расширять линейку продуктов, способных полноценно заместить иностранное ПО как в контуре BSS, так и в опорной сети в области управления сетевым трафиком. В конце прошлого года мы анонсировали полностью импортонезависимое решение Nexign BSS, которое подходит как федеральным операторам связи, так и небольшим операторам с амбициозными планами роста, включая MVNO. В портфеле Nexign также есть ПО для сетевых функций в зоне управления политиками, маршрутизации сигнального трафика, управления перегрузками радиосети. Согласно нашему последнему исследованию, 23% операторов всего на 1 балл (по шкале от 0 до 10) оценили уровень импортозамещения в этих областях, как и в целом в области ядра сети. Ни один респондент не выбрал вариант "замещено более 90%". Для закрытия этих функциональных областей большинство ведущих операторов сегодня используют решения от Oracle и Huawei. И здесь нам есть, что предложить на замену. Например, Nexign DRA является полноценным аналогом таких систем для маршрутизации сообщений по протоколу Diameter в сетях 3G и 4G.
Мы видим, что операторы не только ищут замену стоящим у них решениям, но и заинтересованы в том, чтобы отечественный продукт способствовал росту и развитию бизнеса. Уже сейчас мы ведем активные обсуждения в сфере 5G, запускаем пилоты. Недавно мы завершили миграцию федерального оператора связи с Huawei PCRF на Nexign Policy Management, наше конвергентное решение для управления сетевыми политиками в сетях 4G и 5G. Благодаря этому клиенту удалось повысить производительность решения на 50% и сократить инвестиции в ежегодные расширения инфраструктуры. Этот проект стал победителем в номинации "Импортонезависимость в телекоммуникациях" на конкурсе "Связь-2024".
Мы работаем не только на российском рынке, и наши решения разрабатываются с учетом всех международных стандартов отрасли: TM Forum, 3GPP. Это важно для наших клиентов и в России, и за рубежом. В июле мы и Ucell, ведущий мобильный оператор связи Узбекистана, анонсировали успешное завершение тестирования Nexign Converged Charging для конвергентной тарификации и единого управления балансами в сетях 4G и 5G Standalone.
Что дальше
Последние законы усложняют процесс определения ЗО КИИ и выполнения правил их безопасности для операторов связи. Тем не менее, за последние несколько лет на российском рынке появилась хорошая технологическая база отечественного ПО, которая позволит им выполнить требования регулятора без прерывания бизнес-процессов и потери эффективности. Российские вендоры уже готовы предложить решения для замещения значительной части ключевых систем, и сейчас они фокусируются на разработке более специфичных и сложных продуктов, достижении полной технологической независимости. И у нас есть все необходимое — сильная инженерная база, поддержка государства, квалифицированные специалисты — для выполнения этой цели.
