В рамках реализации стратегической инициативы Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (Минкомсвязи РФ), регулирующей сферу критической информационной инфраструктуры (КИИ), предусмотрено наделение операторов связи полномочиями по самостоятельному определению объектов КИИ. Данный подход, как отмечается в подготовленном проекте постановления, направлен на повышение уровня информационной безопасности и адаптацию регуляторных механизмов к специфике телекоммуникационного сектора.
В соответствии с предложенной методологией, операторы связи должны будут создать внутренние экспертные комиссии для проведения комплексной оценки значимости информационных систем и ресурсов. По результатам данной оценки каждому объекту КИИ будет присвоена категория, отражающая потенциальный ущерб от возможных инцидентов в сфере информационных технологий.
Объекты, признанные значимыми с точки зрения их влияния на национальную безопасность, будут обязаны предоставлять Федеральной службе по техническому и экспортному контролю (ФСТЭК) исчерпывающую информацию о программном и аппаратном обеспечении, а также о мерах и средствах киберзащиты, используемых в их деятельности.
Ожидается, что новые нормативные требования вступят в силу в осеннем периоде 2025 года. При этом операторы связи не обязаны автоматически признавать наличие объектов КИИ, однако в случае проведения оценки результаты должны быть оформлены в установленном порядке и переданы регулятору.
Согласно предварительным оценкам, реализация данных инициатив потребует значительных финансовых вложений. По информации, представленной в сопроводительных материалах к проекту, совокупные затраты могут превысить 6 миллиардов рублей в течение шестилетнего периода. Для отдельных крупных операторов, как отмечает источник в телеком-сфере, ежегодные расходы на адаптацию к новым требованиям могут составить несколько сотен миллионов рублей.
Отсутствие в действующей нормативной базе четких положений, регламентирующих особенности категорирования объектов КИИ в сфере связи, послужило формальным основанием для разработки и внесения данного проекта постановления.
Реакция представителей телекоммуникационного сектора на предложенные изменения была неоднозначной. Так, в компании «Мегафон» заявили, что существующие механизмы регулирования в статусе субъекта КИИ позволят им адаптироваться к новым требованиям без значительных организационных изменений. При этом, по мнению представителей оператора, документ уточняет отраслевую специфику, не изменяя при этом базовых принципов защиты критических информационных ресурсов.
Формирование четкой методологии учета и оценки информационно значимых объектов в телекоммуникационном секторе в условиях растущей угрозы цифровых атак представляется своевременной и обоснованной мерой. Однако для бизнеса это не просто регуляторные изменения, а масштабная трансформация подходов к управлению кибербезопасностью, требующая комплексного пересмотра существующих практик и внедрения инновационных решений.