С сентября 2024 года операторы государственных и муниципальных информационных систем (ГИС) могут размещать свои ресурсы только у провайдеров, включенных в специальный перечень. С этого времени новый регуляторный механизм изменил правила игры и для госзаказчиков, и для всего рынка хостинг-услуг: из сотен российских провайдеров в перечень для государственных информационных систем вошли лишь шесть компаний. Сегодня этот ограниченный круг поставщиков фактически формирует новый стандарт доверенной ИТ-инфраструктуры. Сергей Журило, директор по информационной безопасности Руцентра, - о том, что это означает для всего рынка и кто выиграет в новых условиях.

Новый ландшафт: что изменилось после запуска реестра

Количество высококритичных кибератак на госсектор за последнее время удвоилось, и более половины всех зафиксированных атак в стране пришлись на государственные учреждения. На российский госсектор нацелены 60% хакерских группировок из 120 отслеживаемых. Некоторые масштабные атаки последнего года были способны парализовать важные государственные ресурсы - например, в октябре 2024 года хакеры атаковали государственную автоматизированную систему "Правосудие", из-за чего ряд судебных сервисов работали с перебоями. На полное восстановление понадобилось более недели.

Такие инциденты наглядно показывают, что прежний подход к размещению государственных информационных систем больше не может соответствовать уровню современных угроз. Ранее операторы государственных систем могли выбирать любые хостинговые площадки - в том числе частных провайдеров, не проходивших профильных проверок. Сегодня же ситуация изменилась. С прошлого года операторы государственных информационных систем (ГИС) могут размещать данные только у хостинг-провайдеров, включенных в специальный перечень, утвержденный правительством Российской Федерации. Эта мера направлена на повышение уровня информационной безопасности государственных систем в условиях усложняющихся киберугроз и означает переход к системной, централизованной защите цифровой инфраструктуры государства. Для коммерческих компаний, обслуживающих государственные учреждения или работающих по 44-ФЗ и 223-ФЗ, это также играет роль: выбирать придется только из "белого списка".

Изначально в перечень вошли лишь два провайдера - менее 1% всех участников рынка. Сегодня их по-прежнему немного: всего семь провайдеров из сотен действующих в России. Это говорит о высоком пороге входа: устойчивость к сбоям, поддержка сертифицированных средств криптографической защиты информации (СКЗИ), соответствие стандартам ФСТЭК и ФСБ, аттестации по уровнями и классам защищенности, работа с ГосСОПКА. Аттестация охватывает и управленческие аспекты: важно наличие регламентов, выстроенные процессы контроля доступа, квалифицированный персонал и готовность к реагированию на инциденты. Примечательно, что среди первых включенных в перечень компаний есть как организации с государственным участием, так и частный бизнес. Это говорит о том, что государственные заказчики готовы доверять инфраструктуру независимым рыночным игрокам, демонстрирующим высокий уровень зрелости и соответствие важным требованиям в области информационной безопасности.

Для организаций и операторов госсистем новые правила означают повышение ответственности при выборе партнеров по размещению ИТ-инфраструктуры. Несоблюдение этих требований ведет к рискам блокировки сервисов и невозможности участия в госзаказах.

Рынок делится по зрелости

Хотя нововведение адресовано прежде всего государственным структурам, его эффект выходит далеко за рамки бюджетной сферы. Для хостинг-провайдеров это стало сигналом: без зрелой инфраструктуры и понятных процессов взаимодействия с регуляторами оставаться и конкурировать на рынке становится сложнее. Во-первых, выросли базовые требования к качеству платформ. Во-вторых, активизировался спрос на услуги, прошедшие аудит и получившие признание на государственном уровне.

Компании, которые заранее выстраивали процессы с акцентом на надежность, в этом смысле оказались в более выгодной позиции. В условиях, когда регулятор фактически закрепляет определенный стандарт доверенной инфраструктуры, компании без прозрачных процессов и компетенций рискуют выпасть из поля зрения крупных клиентов. В то же время игроки, соответствующие критериям реестра, получают конкурентное преимущество - и в госсекторе, и за его пределами.

Создание специализированного перечня провайдеров государственных информационных систем ускорило разделение рынка на несколько слоев. На одном полюсе - крупные и зрелые компании с мощной технической базой, выстроенными процессами по информационной безопасности, документацией, центрами обработки данных уровня Tier III и выше. На другом - небольшие провайдеры, для которых соответствие новым требованиям оказалось неподъемной задачей.

На фоне разделения рынка аттестованные провайдеры теперь становятся экосистемными партнерами для цифровой трансформации органов власти, госучреждений, крупного бизнеса. Их роль расширяется - от аренды серверов до консалтинга, комплексной инфраструктурной поддержки, управления безопасностью.

Доверенная инфраструктура как новая норма

В долгосрочной перспективе на рынке можно ожидать расширение списка аттестованных провайдеров и возможное распространение аналогичной модели на другие категории информационных систем, включая критическую инфраструктуру. По сути, это переход к модели, где безопасность и устойчивость инфраструктуры становится единым стандартом для всего цифрового сектора. Это будет стимулировать развитие отечественных решений и повышение квалификации ИТ-специалистов.

Такой переход поддерживается и другими мерами. Например, закон №149-ФЗ "Об информации, информационных технологиях и о защите информации" и постановление правительства от 28.11.2023 №2008, регулирующее реестр хостинг-провайдеров, требуют от компаний соблюдать стандарты информационной безопасности, хранить данные исключительно на территории России и предоставлять услуги только идентифицированным пользователям.

И потому безопасность - не привилегия, а основа доверия к цифровой экономике, и это шаг в сторону более зрелой и устойчивой ИТ-среды. Для провайдеров новые нормы становятся сигналом: соответствие требованиям госзаказа - новая планка зрелости. Для заказчиков - ориентир в выборе партнеров. А для всего рынка - путь к устойчивости в условиях непрекращающихся киберугроз и технологических рисков.