В Российской Федерации ERP-системы, схожие с западными продуктами SAP и Oracle, были отнесены к элементам критической информационной инфраструктуры (КИИ). Согласно распоряжению правительства №360-р, они вошли в единый реестр, содержащий 397 типовых объектов КИИ по отраслям. Как сообщает «Коммерсантъ», эти системы прямо указаны в перечне объектов КИИ для химической, металлургической, горнодобывающей, ракетно-космической и оборонной отраслей промышленности.
Издание поясняет, что данное постановление законодательно закрепляет ранее утверждённые отраслевые списки (действующие с 2024 года) и обязывает компании проводить категорирование ERP-систем, а также усиливать их защиту в соответствии с требованиями ФСТЭК, что связано с дополнительными финансовыми затратами. Кроме того, включение в реестр мотивирует предприятия переходить на российские аналоги вместо иностранных SAP и Oracle, чтобы избежать потенциальных штрафов, сбоев в производстве и увеличения расходов на IT. Ранее выдвигалась инициатива по разработке национального , однако она со стороны бизнес-сообщества.
Вопросы импортозамещения ERP-систем, в том числе в организациях, относящихся к КИИ, в настоящее время находятся в ведении Национального центра компетенций по информационным системам управления (НЦК ИСУ). Центр рекомендует поэтапный подход для снижения рисков: сначала необходимо провести категорирование объектов с обязательным аудитом используемых платформ (включая SAP и Oracle), а затем приступить к переходу на отечественные решения, обеспечив сохранение основных бизнес-процессов. В НЦК ИСУ отметили, что новые правила в конечном счёте усложнят процедуру категорирования ERP, приведут к увеличению сложности проектов и росту связанных с ними издержек, а отнесение ERP к КИИ указывает на то, что регулятор видит угрозы в уровне защищённости самих этих систем.
Источник изображения: Sincerely Media / Unsplash
Одновременно специалисты подчеркнули, что правительственное распоряжение не вводит чётких требований непосредственно к системам, поскольку действующие предписания ФСТЭК и иных органов лишь регламентируют меры по противодействию разнообразным рискам. Следовательно, можно предположить, что поддержка зарубежных ERP-платформ, которая пока осуществляется без участия западных разработчиков, продолжится. Ожидается, что присвоение статуса объектов КИИ приведёт к росту расходов компаний в связи с необходимостью внедрения дополнительных защитных механизмов, сегментирования сетей, создания резервных мощностей и изменения архитектуры, однако основные затраты будут связаны не с лицензиями, а с интеграцией, аудитом и техническим обслуживанием.
Источник:
