Двойная сертификация и дефицит кадров: эксперт о последствиях новых требований Минцифры к хостинг-провайдерам
Минцифры подготовило новый проект требований к защите информации для провайдеров хостингов, работающих с госинформационными системами. Ключевое изменение — замена ссылки на приказ ФСБ № 524 на приказ № 117 от 18 марта 2025 года, что фактически обязывает операторов перейти на специализированные криптосредства. По мнению эксперта, это может привести к росту издержек и обострению кадровой проблемы.
Министерство цифрового развития России вынесло на обсуждение новые требования о защите информации. Регуляторная новация касается операторов хостингов для государственных и муниципальных информационных систем (ГИС, МИС) и ИС государственных органов. Документ был опубликован 25 мая.
В новых, как и в старых, требованиях указывается необходимость использования средств криптографической защиты информации (СКЗИ) провайдерами хостингов, предоставляющих вычислительные мощности для размещения информации в ИС. Однако старая версия документа ссылалась на требования ФСБ о защите информации в соответствии с приказом № 524 от 24 октября. Новый документ ссылается на приказ ФСБ № 117 от 18 марта 2025 года.
Новыми правилами расширен круг поднадзорных лиц: требования касаются не только государственных информационных систем, но и всех ИС госорганов, унитарных предприятий и учреждений. Однако приказом № 117 вносились и ограничения — он не распространяется на ИС Администрации президента, Совета Безопасности РФ, Федерального собрания, правительства, Конституционного и Верховного судов, а также на ФСБ и другие ИС, составляющие гостайну.
По мнению бизнес-партнера по кибербезопасности Cloud.ru Юлии Липатниковой, новые требования означают для многих дата-центров и провайдеров переход с «гражданских» средств защиты (СЗИ ФСТЭК) на специализированные криптосредства (СКЗИ ФСБ). За этим последуют прямые финансовые траты — на оборудование и ПО, лицензирование и обслуживание, а также на перестройку инфраструктуры.
«СКЗИ — это, как правило, более дорогие и специализированные решения (аппаратные криптошлюзы), чем обычные межсетевые экраны или системы обнаружения вторжений, — отмечает Липатникова. — Для работы с СКЗИ провайдерам, скорее всего, потребуется лицензия ФСБ на эксплуатацию криптосредств, что само по себе долгий и затратный процесс».
Эксперт обращает внимание, что одной из проблем будет «двойная» сертификация и пересечение регуляторов. Системе предстоит соответствовать и требованиям ФСТЭК к ГИС, и новым требованиям ФСБ. «Это достаточно сложный компромисс, так как на практике криптосредства сложно интегрировать с обычными СЗИ», — говорит Липатникова.
Встанет острее и вопрос с кадрами: обычные системные администраторы и инженеры ИБ часто не имеют допуска или квалификации для работы с сертифицированными ФСБ криптосредствами. Так что потребуется либо нанимать спецперсонал, либо дорого обучать текущий персонал.
«Для рынка же это может означать либо рост цен на аренду мощностей для госсектора, либо уход с рынка небольших игроков, которые не потянут лицензию ФСБ и покупку криптошлюзов», — считает Липатникова.
