К 2025 году законодательство в области информационной безопасности в России ужесточилось. Разумеется, это коснулось в первую очередь защиты объектов критической информационной инфраструктуры, относящихся к энергетике, финансам, транспорту и другим отраслям. Залог успешного функционирования организаций, работающих с КИИ, – соблюдение новых требований, направленных на повышение безопасности и импортозамещение иностранной продукции.
В статье посмотрим на законы, на список отраслей, которые относятся к КИИ, и на решение вопроса с СУБД с помощью доверенной системы, отвечающей требованиям к импортозамещению и безопасности.
Исторический экскурс
К защите объектов КИИ в России готовились давно. В 2017 году в указ о Федеральной службе по техническому и экспортному контролю 2004 года внесли изменение: одним из полномочий органа стало не обеспечения безопасности информации в ключевых системах информационной инфраструктуры, а обеспечение безопасности самой критической информационной инфраструктуры.
Зачем это было нужно, стало ясно в 2022 году. Оказалось, что надеяться на зарубежных технологических партнеров российским коммерческим и государственным организациям нельзя. Санкции, которые накладывали на них с 2014 года (на самом деле, наша страна живет под санкциями с самого образования СССР, а, если углубляться в историю, то и вовсе со времен правления Ивана Грозного), четыре года назад стали еще более серьезными, и множество компаний, громко хлопнув дверью, покинули рынок. Кто-то сразу, кто-то позже, кто-то — только сделал вид.
Поэтому 30 марта 2022 года президент подписал указ «О мерах по обеспечению технологической независимости и безопасности КИИ». Согласно этому указу, с 31 марта 2022 году было запрещено закупать иностранное ПО для использования на значимых объектах критической информационной инфраструктуры (ЗОКИИ), а также услуги по использованию такого ПО без согласования с уполномоченным органом. А с 1 января 2025 года органам государственной власти и вовсе было запрещено использовать иностранное ПО на ЗОКИИ. Постепенно нужно перейти на преимущественное применение отечественных радиоэлектронной продукции и телекоммуникационного оборудования на таких объектах.
Спустя пару месяцев, 1 мая 2022 года, вышел новый указ – «О дополнительных мерах по обеспечению ИБ РФ». Государственным органам и госкомпаниям поручили создать подразделения ИБ и запретили с 1 января 2025 г. использовать средства защиты информации от недружественных стран. Документ касается федеральных и региональных властей, госфондов, госкорпораций, госкомпаний, стратегических, системообра��ующих предприятий, субъектов КИИ.
С целью предотвращения терактов и обеспечения безопасности на территории организаций, относящихся к субъектам КИИ, с 1 июня 2023 года стало возможно использовать биоПДн – биометрические персональные данные.
Центробанк в январе 2025 года выпустил Положение, согласно которому кредитные организации и филиалы иностранных банков должны использовать ПО, сертифицированное по требованиям безопасности ФСТЭК или прошедшее оценку соответствия по требованиям к оценочному уровню доверия ОУД4.
Также были подписаны другие акты, федеральные законы, сформулированы требования ФСТЭК, которыми необходимо руководствоваться как организациям, имеющим объекты КИИ, так и их подрядчикам.
План работ для КИИ
Чтобы понять, насколько вашей организации важны вышеуказанные указы и постановления, важно знать ее отношение к объектам критической информационной инфраструктуры и их категориям значимости. Это можно сделать после выхода официальных документов от Правительства РФ и ФСТЭК России – отраслевые требования могут сильно изменить подход к защите таких объектов.
К объектам КИИ относятся объекты, от работы которых зависят безопасность, экономика и благосостояние граждан. Это информационные системы, телекоммуникационные системы, автоматизированные системы управления технологическими процессами, которые функционируют в ряде отраслей:
здравоохранение,
(финансовый рынок),
топливно-энергетический комплекс,
атомная промышленность,
военно-промышленный комплекс,
ракетно-промышленный комплекс,
горнодобывающая промышленность,
металлургическая промышленность,
химическая промышленность,
наука, транспорт, связь,
юридический лица и индивидуальные предприниматели, которые взаимодействуют с такими организациями.
Зная, что организация относится к КИИ, важно организовать работу с ГосСОПКА. ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, созданная по указу президента от 2013 года. Наладить работу можно самостоятельно или через специализированные центры, которые имеют соглашения с НКЦКИ.
Следующий шаг – оценить, сколько импортного ПО и программно-аппаратных ко��плексов используется в организации, рассчитать бюджет на переход к отечественным аналогам и запланировать импортозамещение. Важно оперативно перейти на сертифицированные по требованиям безопасности информации российские продукты для администрирования и защиты объектов КИИ.
СУБД: решение
Одним из основополагающих компонентов, необходимых для работы различных объектов информатизации – система управления базами данных (СУБД). Команда «МТ-Интеграция» разработала и развивает СУБД «Персей» – это специально оптимизированная и доработанная система управления базами данных PostgreSQL. Система обеспечивает высокую производительность, что важно для крупных распределенных систем, надежность и целостность – с учетом современных требований к резервному копированию, отказоустойчивость и безопасность согласно современным реалиям и вызовам в сфере ИБ.
СУБД «Персей» может использоваться в различных системах, к которым предъявляются повышенные требования к безопасности информации. Она отвечает всем современным требованиям безопасности и импортозамещения, что подтверждают сертификация по новым требованиям безопасности информации ФСТЭК к СУБД от 2023 года, наличие реестровых записей в реестре отечественного программного обеспечения Минцифры (№23444) и реестре сертифицированных средств защиты информации ФСТЭК (№ сертификата – 4892). Таким образом, вы можете использовать СУБД «Персей» в объектах критической информационной инфраструктуры. Решение может использоваться в:
ЗОКИИ 3, 2 и 1 категории значимости,
ГИС 3, 2 и 1 класса защищенности,
информационных системах персональных данных (ИСПДн) 1, 2, 3 и 4 уровней защищенности.
Отказоустойчивость СУБД достигает 99,99%, поддерживаемый объем базы данных – более 120 ТБ. Затраты навнедрение и сопровождение СУБД с нашей системой вы сможете сократить до 50%.
ПО не способно работать в вакууме, поэтому мы постоянно расширяем список совместимости. Сейчас СУБД, над которым работали в том числе ИБ-специалисты, совместимо как с зарубежными операционными системами, так и с российскими – в том числе ОС Astra Linux и Ред ОС. Испытания на совместимость «Персей» прошёл с такими решениями, как «Галактика ERP», платформа управления ИТ и корпоративными сервисами R-Service, цифровой платформой для автоматизации и оптимизации производственных процессов ИНКА, low-code платформой «БФТ.Платформа» и другими.
Команда продолжает развивать и модернизировать СУБД «Персей», интегрировать с множеством перспективных отечественных технологий в сфере защиты информации и цифровизации.
Заключение
В разработке СУБД «Персей» изначально самое активное участие принимали специалисты по информационной безопасности. Важно было создать систему, отвечающую не просто требованиям законодательства – а все мы понимаем, что эти требования всегда будут ужесточаться – но запросам и государства и бизнеса. СУБД в целом – это важнейший компонент инфраструктуры, и поэтому, особенно на объектах КИИ, она должна работать, как часы. Переход на отечественную систему позволит обеспечить устойчивость перед будущими угрозами и стабильность функционирования организаций.
