ERP-системы признаны объектами критической информационной инфраструктуры

Правительство утвердило распоряжение № 360-р, которым установлен единый перечень типовых отраслевых объектов критической информационной инфраструктуры. В документ вошли 397 категорий систем и технологий, используемых в различных секторах экономики. В числе прочего в список впервые напрямую включены ERP-системы. Указано, что подобные системы относятся к объектам КИИ в ряде стратегически значимых отраслей: химической, металлургической, горнодобывающей, а также в ракетно-космической и оборонной промышленности.

Фактически документ закрепляет на уровне правительства отраслевые перечни, которые начали формироваться с 2024 года, и одновременно вводит для предприятий дополнительные обязанности. Теперь компании должны проводить процедуру категорирования ERP-систем, обеспечивать их защиту в соответствии с требованиями ФСТЭК и постепенно переходить на отечественные программные решения вместо зарубежных продуктов SAP или Oracle. Несоблюдение этих требований может привести к штрафам, остановкам производственных процессов и росту затрат на ИТ-поддержку.

Вопросы замещения зарубежных ERP-решений, в том числе на предприятиях, относящихся к субъектам КИИ, находятся в зоне ответственности Национального центра компетенций по информационным системам управления (НЦК ИСУ). Центр продвигает постепенную стратегию перехода. На первом этапе предполагается определить категории информационных систем и провести обязательный аудит используемых платформ, включая продукты SAP и Oracle. Следующим шагом должна стать миграция на отечественные аналоги с максимально бережным переносом ключевых бизнес-процессов, чтобы снизить риск сбоев и производственных остановок.

В НЦК ИСУ считают, что новые требования могут усложнить процесс категорирования ERP-систем и увеличить масштаб проектов по их модернизации, а также привести к росту затрат. В то же время подчеркивается, что сам факт включения ERP-решений в перечень объектов КИИ свидетельствует о том, что регуляторы рассматривают эти системы как потенциально уязвимые с точки зрения ИБ.

Эксперты отмечают, что включение ERP-систем в перечень объектов КИИ прежде всего усиливает требования к их защите и повышает регуляторную нагрузку на предприятия. Это ускорит переход компаний на отечественные программные продукты, поскольку использование западных систем становится все более рискованным с точки зрения регулирования и поддержки. При этом специалисты подчеркивают, что документ не вводит новых технических требований к самим ERP-решениям, поэтому на практике предприятия пока могут продолжать самостоятельно поддерживать иностранные системы. Одновременно эксперты предупреждают, что компаниям придется увеличить расходы на информационную безопасность, аудит, интеграцию и перестройку ИТ-архитектуры, а полный переход на российские ERP-платформы может занять длительное время из-за ограниченных возможностей существующих отечественных решений для крупнейших заказчиков.