Импортозамещение критических объектов: есть ли шансы?
Федор Музалевский, 25/07/22
Импортозамещение является одним из главных современных трендов во всех отраслях. Объекты КИИ имеют непосредственное отношение к информационным технологиям, государственным ресурсам и национальной безопасности, поэтому импортозамещение в критической инфраструктуре не просто модное направление, но задача первостепенной важности. Возможно ли на данном этапе полностью отказаться от использования зарубежных технологий. Какие трудности преодолевают организации на пути реализации этой государственной программы?
Автор: Федор Музалевский, директор технического департамента RTM Group
Актуальность импортозамещения в КИИ подчеркивается в вышедшем 30.03.2022 г. Указе Президента Российской Федерации No 166 [1], гласящем, что вся критическая информационная инфраструктура РФ не может осуществлять свою деятельность в сферах, определенных в 187-ФЗ [2], при помощи программного обеспечения, созданного в иностранных государствах, будь то технические средства защиты информации или ПО для осуществления работы самих объектов КИИ. Немаловажно при этом, что закупки импортного софта для применения на этих объектах без согласования с уполномоченным органом запрещаются уже с 31 марта текущего года.
Как определяются субъекты и объекты КИИ? Какие объекты значимые?
Основные признаки, позволяющие отнести организацию к КИИ, описаны в 187-ФЗ "О безопасности критической информационной инфраструктуры РФ", а список сфер, к которой она может принадлежать, подробно указан в п. 8 ст. 2.
Если говорить кратко, то к объектам КИИ относятся сети провайдеров (ИТКС), средства автоматизации техпроцессов (АСУ ТП) и информационные системы.
В свою очередь, субъекты КИИ – это организации, которым принадлежат (в том числе на правах аренды) объекты КИИ. Они работают в сферах здравоохранения, науки, транспорта, связи, энергетики, в государственном, банковском и финансовом секторах, в топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Каждый из объектов оценивается с различных точек зрения, включая социальную, политическую, экономическую и экологическую. Его (объекта) значимость определяется влиянием на обеспечение обороноспособности страны, безопасности государства и правопорядка. Чем выше показатель для заданного объекта по каждому из критериев, тем больше внимания должно уделяться его бесперебойной и безопасной работе.
Для понимания проблемы в целом важно подчеркнуть, что в составе КИИ нет объектов с низкой степенью значимости – в современных условиях для каждого из них вопрос полного перехода на отечественное ПО стоит особенно остро.
Проблемы импортозамещения в КИИ и пути их решения
Несмотря на то что курс на импортозамещение в данной сфере был взят государством еще несколько лет назад, серьезных успехов пока добиться не удалось. Отечественные разработки есть, их немало, но пока использование российского ПО не превышает в отрасли КИИ 30%. Причина в существовании объективных сложностей, которые затрудняют замену решений и которые вряд ли дадут осуществить полный переход в нынешнем году.
Основная проблема заключается в отсутствии полнофункциональных ИТ-решений, которые могли бы полностью исключить использование зарубежных аналогов. Например, иностранные программно-аппаратные комплексы для магнитно-резонансной томографии (МРТ) сейчас заместить вообще нечем, а в нефтяном комплексе значительная часть сложных систем добычи нефти импортная, поскольку в России подобные решения не создавались. И такие системы не появятся подобные за несколько месяцев – и нескольких лет может не хватить.
Другая важная проблема состоит в том, что в России, по статистике, каждая десятая организация является субъектом КИИ, поэтому охватить весь объем используемого иностранного ПО очень сложно. В связи с этим возникает и финансовая трудность: перемены потребуют слишком больших вложений, идти на которые участники рынка раньше были не готовы. Учитывая все перечисленные выше сложности, возникает логичный вопрос: какие меры со стороны регуляторов принимаются с целью улучшения ситуации?
Введение новых требований к ПО в сфере КИИ
Вполне вероятно, что ФСТЭК и другие регуляторы не только начнут разрабатывать новые требования для контроля за использованием иностранного ПО, но и будут создавать новые возможности перехода на отечественное. Наверняка будут обновлены правила проведения категорирования и мероприятия по защите объектов КИИ.
Возможно, регуляторы определят минимальные требования для ПО, на которое будет осуществляться переход, например:
- применяемое ПО должно входить в Единый реестр российских программ для электронных вычислительных машин и баз данных (РПО);
- продукты, не включенные в состав РПО, должны поддерживаться российскими разработчиками.
Поиск решения при отсутствии аналогов
Отсутствие аналогов отечественных решений в сфере КИИ в ключе импортозамещения является немаловажной проблемой.
Если в секторах ИС и ИТКС уже есть немало наработок и им будет проще, то отдельным сегментам, например АСУ ТП, будет намного сложнее, ведь необходимое оборудование для них в основном производится за рубежом.
Остается надеяться, что в скором будущем ФСТЭК разработает пакет решений по внедрению и облегчит задачу обладателям ИС, ИТКС и АСУ ТП.
Есть и субъекты КИИ, для которых переход на полностью отечественные системы невозможен, поскольку именно иностранное ПО отвечает их нуждам и их работа без него неосуществима. Что делать в таком случае?
В качестве одного из вариантов решения проблемы можно апеллировать к Указу Президента Российской Федерации No 166 от 30.03.2022 г. Он предусматривает этот момент и предлагает решение: если работа объектов КИИ без иностранного ПО неосуществима, то субъекты КИИ могут согласовывать их закупку с федеральным органом исполнительной власти.
После консультации со ФСТЭК по этому вопросу выяснилось, что на данный момент механизм согласования налаживается, а само разрешение на закупку иностранных систем необходимо только тем субъектам КИИ, которые создают новый объект.
Что будет, если ничего не делать?
Можно, конечно, продолжать использовать иностранные решения и надеяться на то, что регулирующие органы (для КИИ основными из них являются ФСТЭК и ФСБ России) войдут в положение и не будут применять штрафные санкции. Однако заявленная задача импортозамещения – одна из первостепенных на сегодня для государства и бизнеса, поэтому можно не сомневаться, что за ее выполнением будут следить: ФСТЭК – в части формирования требований к проведению категорирования, требований к защите значимых объектов КИИ (ЗОКИИ), а также ведения реестра объектов КИИ по всей России, а ФСБ – в вопросах оценки и координации субъектов КИИ. И оба регулятора наверняка применят меры к нарушителям.
В настоящий момент вся регулятивная правовая составляющая в отношении КИИ содержится в КоАП РФ и УК РФ.
Так, известно, что на должностных лиц и на юридических лиц за непроведение категорирования, нарушения требований защиты ЗОКИИ и так далее могут быть наложены административные штрафы (ст. 13.12.1 и 19.7.15 КоАП РФ). Но они же могут понести и более тяжкие наказания, вплоть до уголовной ответственности и лишения свободы за неправомерное влияние на объекты КИИ, за нарушение правил эксплуатации (ст. 274 и 274.1 УК РФ) и т.д.
Как будет регулироваться невыполнение указаний властей именно в части импортозамещения – до конца не понятно, но вариантов может быть немало. Помимо этого, госструктуры в любой момент имеют возможность выпустить новый закон, который значительно усложнит положение тех, кто не желает следовать правилам.
Что можно сделать прямо сейчас
Очевидно, что импортозамещение в отрасли КИИ в сегодняшних реалиях – это необходимость. Если тенденция ограничений на иностранное ПО продолжится, это придаст значительный импульс развитию отечественных разработок.
Существует мнение, что, опираясь на Указ No 166 от 30.03.2022 г., правительство РФ планирует в течение трех лет перевести всю инфраструктуру ЗОКИИ на отечественное ПО. В свою очередь, возникает повод задуматься о переходе всей инфраструктуры КИИ в России полностью на российское ПО после 2025 г.
Что делать субъектам КИИ уже сейчас?
Срочно провести категорирование
Если ваша организация относится к КИИ и до сих пор не провела категорирование, то сейчас самое время. Можно не сомневаться, что плановые и внеплановые проверки ФСТЭК не заставят себя долго ждать.
Как минимум у вас уже должен быть утвержден перечень объектов КИИ до 01.09.2019 г., исходя из п. 2 постановления Правительства РФ No 452 [3].
Если нет, то велик шанс как минимум получить административный штраф.
Правильно реализовать защиту объектов КИИ
Неважно, какой у вас объект КИИ, значимый или незначимый. Его защита под вашей ответственностью. Если вы будете полностью соблюдать требования регуляторов по защите, то это не только даст вам уверенность в том, что соблюдены соответствующие законы, но и позволит не сомневаться, что риски возникновения инцидентов на подконтрольных вам объектах КИИ сведены к минимуму.
Следить за новостями от ФСТЭК и регуляторов
На данный момент субъектам КИИ только и остается, что ждать новых требований от регуляторов. Будут ли это правила категорирования, защиты, перехода на отечественные системы или что-то еще – остается лишь догадываться.
Механизмы уже прорабатываются, а пока субъекты КИИ могут начать подготовку почвы для перехода на отечественное ПО самостоятельно и рассматривать варианты решения различных проблем.
- Указ Президента РФ No 166 от 30.03.2022 г. “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации” http://publication.pravo.gov.ru/Document/View/0001202203300001
- Федеральный закон от 26.07.2017 г. No 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” http://publication.pravo.gov.ru/Document/View/0001201707260023
- Постановление Правительства РФ от 13.04.2019 No 452 “О внесении изменений в Постановление Правительства Российской Федерации от 8 февраля 2018 г. No 127” http://publication.pravo.gov.ru/Document/View/0001201904160054