В Российской Федерации системы управления ресурсами предприятия (ERP), схожие с решениями западных компаний SAP и Oracle, были отнесены к элементам критической информационной инфраструктуры (КИИ). Согласно правительственному распоряжению №360-р, они вошли в единый реестр, содержащий 397 типовых объектов КИИ для различных отраслей. В частности, такие системы прямо указаны в перечне для химической, металлургической, горнодобывающей, ракетно-космической и оборонной отраслей, как сообщает «Коммерсантъ».
Издание поясняет, что данное решение законодательно закрепляет ранее утверждённые отраслевые списки (действующие с 2024 года) и обязывает компании проводить категорирование ERP-систем, а также усиливать их защиту в соответствии с нормативами ФСТЭК, что связано с дополнительными финансовыми затратами. Кроме того, включение в реестр мотивирует предприятия переходить на российские аналоги вместо зарубежных SAP и Oracle, чтобы избежать потенциальных штрафов, сбоев в производстве и увеличения расходов на IT. Ранее выдвигалась инициатива по разработке национального аналога SAP, однако она не получила поддержки делового сообщества.
Координацией процесса импортозамещения ERP-систем, в том числе в организациях КИИ, занимается Национальный центр компетенций по информационным системам управления (НЦК ИСУ). Центр рекомендует поэтапный подход для снижения рисков: сначала провести категорирование объектов с обязательной оценкой текущих платформ (включая SAP и Oracle), а затем осуществить переход на отечественные решения, сохранив основные бизнес-процессы. В НЦК ИСУ отметили, что новые требования в конечном счёте усложнят процедуру категорирования ERP, приведут к увеличению сложности проектов и росту связанных с ними издержек, а отнесение ERP к КИИ указывает на то, что регулятор видит угрозы в уровне защищённости самих этих систем.
Источник изображения: Sincerely Media / Unsplash
Одновременно специалисты подчеркнули, что правительственное распоряжение не вводит чётких требований к самим системам, а действующие предписания ФСТЭК и иных органов лишь регламентируют меры по защите от разнообразных рисков. Следовательно, можно прогнозировать, что поддержка зарубежных ERP-решений, по-прежнему осуществляемая без участия западных поставщиков, продолжится. Ожидается, что включение в перечень объектов КИИ приведёт к росту расходов компаний из-за внедрения дополнительных защитных механизмов, сегментирования сетей, создания резервных мощностей и изменения архитектуры, однако основные затраты будут связаны не с лицензиями, а с интеграцией, аудитом и техническим обслуживанием.
Источник: