Время работы: пн. - пт. 9.00 - 18.00
Почта: abp@abp.legal
Почта: abp@abp.legal
Средства виртуализации в критической информационной инфраструктуре
Рейтинг материала:
Генеральный директор, эксперт в области налогового права
Рекомендованный юрист Право-300 и ИД Коммерсантъ
Введение
В этой статье попытаемся разобраться как с юридической точки зрения встроить средства виртуализации в критическую информационную инфраструктуру. Для кого-то, и особенно – для представителей госсектора, этот термин – критическая информационная инфраструктура – уже очень хорошо знаком. А кто-то видит этот термин только изредка в публикациях на Хабре. Рассмотрим, как же работать по новым правилам в 2026 году тем, кто владеет объектами такой инфраструктуры или тем, кто продает им свои решения, в том числе – средства виртуализации
Что такое КИИ?
Начнем с контекста. За последние три–четыре года российский рынок виртуализации радикально изменился. Доля отечественных решений выросла до примерно 60% к концу 2024 года. А общий рынок растет двузначными темпами и к 2030 году, по прогнозам, может превысить 50 млрд рублей. То есть речь не о каком-то временном импортозамещении, а о масштабной перестройке рынка. Примерно до 24 года активно применялись иностранные разработки, а отечественные находились на этапе пилотирования и тестовых стендов. Но в прошлом и в этом году многие заказчики ставят уже боевые системы. И речь идет, в том числе, про компании – владельцев критической информационной инфраструктуры
Что же это такое?
Критическая информационная инфраструктура – это, согласно закону, совокупность объектов критической информационной инфраструктуры. Что же к ним относится? Это системы в некоторых особо значимых отраслях экономики: здравоохранении, транспорте, энергетике, банковской сфере и так далее, всего 14 отраслей. Соответственно, по умолчанию любая из них (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть), которая применяется в этой отрасли, относится к критической информационной инфраструктуре
И компания – ее владелец обязана провести так называемое категорирование этой информационной с-мы. То есть проверить, какими рисками чреват сбой в ее работе. Эти перечни рисков утверждены в Постановлении Правительства РФ от 08.02.2018 № 127. И после того, как категорирование проведено, можно распределить объект критической информационной инфраструктуры к одной из трех категорий значимости, от первой (самой высшей) до третьей. Такие системы признаются значимыми объектами КИИ. Но есть и те, которые не создают даже таких рисков, хотя и работают в значимых отраслях. Они, соответственно, значимыми не признаются и компания, по сути, забывает о понятии критической информационной инфраструктуры
Последствия для разработчиков гипервизоров
Это значит, что заказчик, который владеет объектом КИИ, будет пристально проверять, соответствует ли ваша с-ма требованиям безопасности, и вот почему:
Все подобные организации обязаны обеспечить безопасность объектов, которые им принадлежат. И здесь недостаточно просто соблюдать приказы ФСТЭК №17 от 11.02.2013 г. и №21 от 18.02.2013 г., которые известны в контексте защиты персональных данных и защиты информации в государственных информационных системах
Здесь возникает еще один приказ ФСТЭК № 239от 25.12.2017, в котором четко говорится, какие организационные и технические меры должна принять компания для защиты такого объекта. В нем четко указано, что меры безопасности реализуются, в том числе, в среде виртуализации
К этому приказу есть приложение в удобной табличной форме, где говорится – какое именно действие должна предпринять компания в зависимости от категории значимости объекта, который ей принадлежит (от 1 до 3). Например, «Реализация защищенного удаленного доступа» и «Обеспечение возможности восстановления информации» нужны для всех категорий значимости. А «Ограничение числа параллельных сеансов доступа» и «Контроль и анализ сетевого трафика» нужны только для 1 категории значимости
Соответственно, если вы работаете с крупными заказчиками, особенно – из государственной сферы, и при этом такие заказчики сами по себе работают в одной из значимых отраслей, будьте уверены – их безопасники будут вас проверять на соблюдение приказа ФСТЭК №239
Конкретные требования к безопасности
Что еще интересно: скорее всего, ваши системы имеют какие-то средства защиты от хакерских атак, или разработанные самостоятельно или купленные у сторонних разработчиков. И вот в контексте защиты информации вступает в свои права еще один приказ ФСТЭК №187 от 27.10.2022 г. о требованиях по безопасности информации к средствам виртуализации. Что он нам говорит: в их отношении устанавливаются 6 классов защиты, из них шестой – самый низкий, первый – самый высокий. И здесь есть четкое соответствие с категориями значимости объектов критической инфраструктуры. Так, 6 класс защиты – актуален для компонентов КИИ 3 категории значимости. 5 класс защиты – соответственно, 2 категория значимости. 4 класс защиты – 1 категория значимости
И здесь, соответственно, говорится, что нужно сделать, чтобы обеспечить такие классы защиты:
Например, для всех классов защиты обязательно должен быть реализован ролевой доступ с 4 ролями пользователей: разработчик виртуальной машины, администратор безопасности средства виртуализации, администратор средства виртуализации, администратор виртуальной машины. А для 4 класса нужно не просто регистрировать в журнале события безопасности, но и обеспечить резервное копирование информации о событиях безопасности
Например, для всех классов защиты обязательно должен быть реализован ролевой доступ с 4 ролями пользователей: разработчик виртуальной машины, администратор безопасности средства виртуализации, администратор средства виртуализации, администратор виртуальной машины. А для 4 класса нужно не просто регистрировать в журнале события безопасности, но и обеспечить резервное копирование информации о событиях безопасности
Из этого делаем вывод – для допуска к объектам критической информационной инфраструктуры система виртуализации должна соответствовать требованиям безопасности. И, соответственно, пройти официальную оценку соответствия таким требованиям. Один из способов такой оценки – это сертификация в ФСТЭК
Изменения в законодательстве
Закон о критической информационной инфраструктуре вступил в силу с начала 2018 года. Но действительно серьезные изменения начались с 2022 года
Так, 30 марта 2022 был подписан указ Президента №166. На следующий день после опубликования указан, то есть с 31 марта, заказчикам, которые закупали программы по закону №223-ФЗ (то есть компаниям с госучастием более 50%) запретили закупать иностранное ПО для использования на объектах КИИ без согласования с ФСТЭК
А с 1 января 2025 им запретили использовать ранее закупленный иностранный софт на своих объектах. Соответственно, до этой даты госзаказчики должны были заменить все используемые системы на отечественные в контексте критической инфраструктуры. Это же касается и средств защиты информации
Прошлый год тоже был богат на изменения. Так, с 1 сентября 2025 вступили в силу поправки, согласно которым требования о КИИ не распространяются на индивидуальных предпринимателей. То есть государство понимает, что реально значимые с-мы могут принадлежать только юридическим лицам и государственным органам
С этой же даты субъекты КИИ обязаны непрерывно взаимодействовать с ГосСОПКА, устанавливать инструменты обнаружения компьютерных атак и инцидентов. Раньше нужно было просто направлять уведомление в ГосСОПКА, то есть применялся принцип «обнаружил – сообщил».
Меняется и подход к самим объектам критической инфраструктуры. Правительство переходит от общих формулировок к системе типовых отраслевых объектов. Так, будут разработаны перечни типовых объектов КИИ по отраслям и отраслевые методики категорирования. И для средств виртуализации, скорее всего, тоже будут утверждены конкретные требования
Меняется и подход к самим объектам критической инфраструктуры. Правительство переходит от общих формулировок к системе типовых отраслевых объектов. Так, будут разработаны перечни типовых объектов КИИ по отраслям и отраслевые методики категорирования. И для средств виртуализации, скорее всего, тоже будут утверждены конкретные требования
И, наконец, очень важный момент – с 1 сентября 2025 вводится обязанность использовать на значимых объектах только программы, включенные в реестр российского ПО. Соответственно, даже если субъект критической инфраструктуры – это частная компания и на нее ограничения, связанные с госзаказом, не распространяются, теперь им тоже придется закупать для использования в таких системах только софт, включенный в реестр российского ПО. Сейчас также готовится отдельное постановление правительства, в котором будут детально отражены условия и сроки перехода субъектов КИИ на отечественное ПО; предполагается, что оно начнет применятся с середины этого года. Вот такой интересные момент – обязанность уже полгода как действует, но конкретный порядок, как ее исполнять, пока еще на утверждении
Поэтому разработчикам, продающим софт, пора задуматься о включении в реестр – это и доступ к госзаказу открывает, и НДС не платите, и еще требованиям к КИИ соответствуете
✓ Еще один важный момент – правила ведения реестра российского ПО сильно изменились с этого года. Теперь нужно, например, обеспечить соответствие как минимум с двумя российскими ОС, которые относятся к доверенному программному обеспечению. Четких требований к ним пока нет, но есть предположение, что это будут системы, которые сертифицированы ФСТЭК по требованиям безопасности. Можно назвать несколько из них – Астра Линукс, Ред ОС и ОС Альт. К средствам виртуализации это новое правило будет применяться уже с 1 января 2027 года, поэтому лучше уже начать процесс обеспечения совместимости, чтобы не вылететь из реестра при очередной проверке
✓ Есть здесь и особенность, которая вступила в силу с 1 марта этого года. Есть компании, которые разрабатывали софт для собственных нужд, и из-за этого не могли попасть в реестр российского ПО. Теперь они смогут включиться в специальный перечень программ, разработанных для собственных нужд российскими компаниями. И это тоже будет отвечать требованиям к критической информационной инфраструктуре. Правила ведения этого перечня уже утверждены и действуют с 1 марта, в него можно включиться
- Руководитель отраслевой практики цифрового права
- Отмечен в 2025 ИД Коммерсантъ в числе лучших юристов в сфере цифрового права (fintech)
Чек-лист для разработчика системы
Теперь к самому болезненному вопросу: как все это бьет по выбору конкретной платформы. Свободы выборы гипервизора для субъектов КИИ не осталось. Повторим конкретные требования:
-
Первый фильтрВключение в реестр российского софта по классу «средства виртуализации». Класс – важен. Так как классификатор Минцифры периодически обновляется, если вы включали программу в реестр условно 5 лет назад, то такого класса, как есть сейчас, могло просто не быть. Поэтому, если у вас указан «обобщенный» класс, а уже появился конкретный – лучше подать в Минцифры заявление об уточнении класса. Иначе у вас будут проблемы с госзаказчиками, которые в системе госзакупок должны указать класс закупаемого программного обеспечения - Второй фильтрСвязка с требованиями приказа ФСТЭК № 239. Вам нужно будет убедить заказчика в том, что если он встроит вашу программу виртуализации в свою информационную базу, то он все равно будет выполнять все критерии безопасности, отраженные в этом приказе
- Третий фильтрЭто соответствие самой программы требованиям к защите информации по приказу ФСТЭК №187. При этом, здесь у вендора есть две возможности. Первая – это встроить средство защиты информации в собственную программу, и сертифицировать ее. А вторая – это приобрести сертифицированное средство защиты информации
Как юридически грамотно оформить миграцию
Теперь о миграции. Большинство из вас так или иначе сейчас движутся от VMware и прочих иностранных решений к отечественным платформам. Ошибка многих компаний — рассматривать это только как технический проект.
С точки зрения КИИ - это еще и юридический проект
С точки зрения КИИ - это еще и юридический проект
Первый шаг
Зафиксировать миграцию во внутренних документах, где закрепить:
- целевую архитектуру
- сроки и этапы
- ожидаемый эффект по снижению рисков КИИ
Это поможет в случае проверки со стороны ФСТЭК показать, что вы не просто «сидите на VMware», а планомерно переходите на другое средство виртуализации. Все-таки к 2025 году доля VMware на рынке в России все еще около 39%, это часть нашей реальности
- целевую архитектуру
- сроки и этапы
- ожидаемый эффект по снижению рисков КИИ
Это поможет в случае проверки со стороны ФСТЭК показать, что вы не просто «сидите на VMware», а планомерно переходите на другое средство виртуализации. Все-таки к 2025 году доля VMware на рынке в России все еще около 39%, это часть нашей реальности
Второй шаг
Синхронизация с документацией по КИИ.
Изменение платформы виртуализации почти всегда означает существенное изменение архитектуры: другие зоны, иная сегментация, новые ПАК и СЗИ. Это требует пересмотра:
- перечня объектов КИИ
- моделей угроз и моделей нарушителя
-вероятно, самого результата категорирования
Игнорировать это — значит создать расхождение между «бумагами для ФСТЭК» и реальной схемой сети, что при проверке приводит к предписаниям
Изменение платформы виртуализации почти всегда означает существенное изменение архитектуры: другие зоны, иная сегментация, новые ПАК и СЗИ. Это требует пересмотра:
- перечня объектов КИИ
- моделей угроз и моделей нарушителя
-вероятно, самого результата категорирования
Игнорировать это — значит создать расхождение между «бумагами для ФСТЭК» и реальной схемой сети, что при проверке приводит к предписаниям
Третий шаг
Договоры с вендором и интегратором.
С точки зрения юриста я рекомендую добиваться в договорах:
- поэтапного плана работ с четкими критериями завершения этапов — пилот, параллельная эксплуатация, промышленный запуск, вывод старой платформы
- зафиксированных SLA по доступности критичных систем, особенно тех, что входят в значимые ОКИИ
- ответственности интегратора за несоответствие заявленным требованиям КИИ, за срыв сроков переключения и за невозможность отката при неудачном запуске
С точки зрения юриста я рекомендую добиваться в договорах:
- поэтапного плана работ с четкими критериями завершения этапов — пилот, параллельная эксплуатация, промышленный запуск, вывод старой платформы
- зафиксированных SLA по доступности критичных систем, особенно тех, что входят в значимые ОКИИ
- ответственности интегратора за несоответствие заявленным требованиям КИИ, за срыв сроков переключения и за невозможность отката при неудачном запуске
В заключение еще раз отметим, что разработчикам нужно включить свой продукт в реестр российского ПО, а если он уже включен – проверить, что в реестре опубликована актуальная информация и что программе присвоен именно класс «Средства виртуализации». Кроме того, нужно проверить, будет ли система после установки у заказчика соответствовать требованиям к безопасности в контексте КИИ. И использовать средства защиты информации, которые прошли официальную оценку соответствия. А заказчикам, если они все еще используют иностранные решения – как минимум, сделать пошаговый план перехода на отечественные решения и утвердить его как локальный акт, чтобы было что показывать ФСТЭК при проверках
Вам понравилась статья?
Поделиться в соцсетях:
Мы выступаем
юристами-экспертами в СМИ
