В Российской Федерации системы управления ресурсами предприятия (ERP), сопоставимые с зарубежными решениями SAP и Oracle, были отнесены к критической информационной инфраструктуре (КИИ). Согласно распоряжению правительства №360-р, они вошли в единый список, содержащий 397 типовых объектов КИИ по отраслям. Как сообщает «Коммерсантъ», данные системы прямо указаны в перечне объектов КИИ для химической, металлургической, горнодобывающей, ракетно-космической и оборонной отраслей.
Издание поясняет, что данное постановление легализует ранее утверждённые отраслевые списки (действующие с 2024 года) и обязывает компании проводить категорирование ERP-систем, а также усиливать их защиту в соответствии с требованиями ФСТЭК, что связано с дополнительными финансовыми затратами. Кроме того, включение в перечень мотивирует предприятия переходить на российские аналоги вместо иностранных SAP или Oracle, чтобы избежать потенциальных штрафов, остановок производства и увеличения IT-расходов. Ранее выдвигалась инициатива по разработке национального аналога SAP, однако она не получила поддержки со стороны бизнес-сообщества.
Вопросы импортозамещения ERP-систем, в том числе в организациях, относящихся к КИИ, в настоящее время находятся в ведении Национального центра компетенций по информационным системам управления (НЦК ИСУ). Центр рекомендует поэтапный подход для снижения рисков: сначала провести категорирование объектов с обязательным аудитом используемых платформ (включая SAP и Oracle), а затем начать переход на отечественные аналоги, обеспечив сохранение основных бизнес-процессов. В НЦК ИСУ отметили, что новые правила в конечном счёте усложнят процедуру категорирования ERP, приведут к увеличению сложности проектов и росту связанных с ними издержек, а отнесение ERP к КИИ указывает на то, что регулятор видит риски в уровне защищённости самих этих систем.
Источник изображения: Sincerely Media / Unsplash
Одновременно специалисты подчеркнули, что правительственное распоряжение не вводит чётких требований непосредственно к системам, поскольку действующие предписания ФСТЭК и иных органов лишь регламентируют меры по защите от разнообразных рисков. Следовательно, можно предположить, что поддержка зарубежных ERP-решений, которая до сих пор ведётся без участия западных разработчиков, будет продолжена. Ожидается, что присвоение статуса объектов КИИ приведёт к росту расходов компаний в связи с необходимостью внедрения дополнительных защитных механизмов, сегментирования сетей, создания резервных мощностей и изменения архитектуры, однако основные затраты будут связаны не с лицензиями, а с интеграцией, аудитом и техническим обслуживанием.
Источник:
