Проблемы импортозамещения компонентов объектов КИИ в 2024 году
Константин Саматов, 16/01/24
В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
В настоящее время нормативно-правовую базу в части импортозамещения компонентов объектов КИИ составляют:
- Указ Президента РФ от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации";
- Указ Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации";
- Постановление Правительства РФ от 22.08.2022 № 1478 "Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов (ПАК), используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации;
- постановление Правительства РФ от 14.11.2023 № 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" (вместе с Правилами перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации);
- приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 18.01.2023 № 21 "Об утверждении Методических рекомендаций по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации, и о реализации мер, направленных на ускоренный переход органов государственной власти и организаций на использование российского программного обеспечения в Российской Федерации";
- приказ Минпромторга России от 06.03.2023 № 722 "Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии".
Следует отметить, что часть отраслевых "планов перехода" имеет ограниченный характер (ограничительную пометку) и отсутствует в открытых источниках.
Оба указа президента РФ устанавливают запреты с 1 января 2025 г.. Указ Президента РФ от 30 марта 2022 г. № 166 запрещает использовать иностранное ПО, в том числе в составе ПАК на значимых объектах КИИ (ЗОКИИ), а Указ Президента РФ от 1 мая 2022 г. № 250 запрещает использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении РФ недружественные действия, либо производителями которых являются организации, находящиеся под контролем таких иностранных государств.
Процедуры, связанные с переходом на российское ПО, установлены в трех документах, утвержденных постановлением Правительства РФ от 22.08.2022 № 1478.
Требования к ПО, используемому на ЗОКИИ
Данные требования устанавливают, что ПО, предназначенное для обеспечения безопасности ЗОКИИ, а также ПО, предназначенное для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах, должно:
- быть включено в реестр российских программ или программ государств – членов Евразийского экономического союза;
- соответствовать требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).
Использование в конструкции данной правовой нормы словосочетания "соответствующим документом (сертификатом)" применено в целях закрепления обязанности использовать для обеспечения безопасности ЗОКИИ только сертифицированные наложенные средства защиты информации (в том числе программно-аппаратные) и возможности подтверждения соответствия требованиям по безопасности [1] средств защиты информации встроенных в ПО ЗОКИИ в рамках испытаний/приемки вновь создаваемых объектов.
Правила перехода на преимущественное использование российского программного обеспечения
В соответствии с данными правилами субъекту КИИ необходимо:
- разработать план перехода на использование российского ПО в соответствии с приказом Министерства цифрового развития, связи и массовых коммуникаций РФ от 18.01.2023 № 21 и отраслевым планом мероприятий по обеспечению готовности к преимущественному использованию российского ПО;
- утвердить план и направить его в Минцифры России (нормативно – в срок до 18 марта 2023 г.);
- при подготовке раздела 2 плана перехода использовать отраслевой план мероприятий по обеспечению готовности к преимущественному использованию российского ПО, полученный от отраслевого регулятора.
Правила согласования закупок иностранного программного обеспечения
Документ устанавливает порядок согласования закупок иностранного ПО субъектами КИИ, владеющими ЗОКИИ.
Для согласования субъект КИИ подает заявку в уполномоченный орган или Центральный Банк РФ (для финансовых организаций). Уполномоченными органами являются:
- Министерство здравоохранения РФ;
- Министерство науки и высшего образования РФ;
- Министерство транспорта РФ;
- Министерство цифрового развития, связи и массовых коммуникаций РФ;
- Министерство энергетики РФ;
- Министерство промышленности и торговли РФ.
В заявке указываются: наименование ПО, обоснование невозможности использования российского ПО на ЗОКИИ, сертификаты соответствия, предмет и стоимость договора, сведения о месте поставки и др.
Уполномоченный орган или Центральный Банк РФ рассматривает заявку и принимает решение о согласовании или отказе.
Заявки с ценой от 100 млн руб. рассматривает специальная комиссия.
Основания для отказа: недостоверность сведений, несоответствие установленному порядку, риски безопасности.
Решение о согласовании действует для конкретной закупки согласно заявке. Субъект КИИ может обжаловать отказ.
Для обеспечения использования на ЗОКИИ отечественного ПО, по моему мнению, рекомендуется:
- новые объекты КИИ проектировать и создавать с использованием только российского ПО (в том числе в составе ПАК);
- создать в субъекте КИИ "проектную группу", обеспечивающую управление процессами перехода организации на использование российского ПО на ЗОКИИ, мониторинг хода реализации плана перехода и достижения установленных показателей эффективности.
Постановление Правительства РФ № 1912
Постановление Правительства РФ от 14.11.2023 № 1912 утверждает правила перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им ЗОКИИ. С учетом того, что на сегодняшний день это новый нормативно-правовой акт, следует остановиться на более подробной характеристике установленных в нем требований.
Во-первых, в постановлении четко прописано, что такое доверенные ПАК и как определить момент завершения переход на доверенные ПАК.
Доверенный ПАК – тот, который соответствует одновременно трем критериям:
- Сведения о ПАК содержатся в едином реестре российской радиоэлектронной продукции.
- ПО, используемое в составе ПАК, соответствует требованиям, утвержденным постановлением Правительства РФ от 22.09.2022 № 1478.
- ПАК, в случае реализации в нем функций защиты информации, соответствует требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документов (сертификатом).
постановления Правительства РФ от 22.08.2022 № 1478 (так как в данном случае ПО неотделимо от компонентной базы), поэтому многие субъекты КИИ не планировали замену телекоммуникационного оборудования, за исключением межсетевых экранов, являющихся средствами защиты. Данное же постановление предписывает необходимость такой замены.
Переход субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ осуществляется до 1 января 2030 г.
Во-вторых, с 1 сентября 2024 г. не допускается использование субъектами КИИ на ЗОКИИ ПАК, приобретенных с 1 сентября 2024 г. и не являющихся доверенными ПАК, за исключением случаев отсутствия произведенных в РФ доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ ПАК.
Иными словами, с 1 сентября 2024 г. проектирование и создание новых ЗОКИИ должно осуществляться только на базе доверенных ПАК.
В-третьих, алгоритм перехода на преимущественное применение доверенных ПАК, по сути, аналогичен алгоритму перехода на российское ПО:
Шаг 1. Провести инвентаризацию используемых на ЗОКИИ ПАК и дождаться от уполномоченного органа отраслевого плана перехода. Срок разработки и утверждение уполномоченными органами планов организации перехода установлен до 1 сентября 2024 г.
К уполномоченным органам, помимо уже названных, добавились:
- Министерство финансов РФ – в банковской сфере и иных сферах финансового рынка (за исключением кредитных организаций и некредитных финансовых организаций);
- Федеральная служба государственной регистрации, кадастра и картографии – в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
- Госкорпорация "Росатом" – в области атомной энергии;
- Госкорпорация "Роскосмос" – в области ракетно-космической промышленности.
Шаг 2. Разработать и утвердить "свой" план перехода на преимущественное применение доверенных ПАК в срок до 01.01.2025.
Шаг 3. Осуществить переход на преимущественное применение доверенных ПАК в соответствии с планом в срок до 01.01.2030.
Таким образом, основные контрольные сроки для субъекта КИИ: 01.09.2024, 01.01.2025, 01.01.2030. Кроме того, необходимо учитывать, что субъектам КИИ необходимо ежегодно представлять отчет о реализации планов перехода.
- Установлены приказом ФСТЭК России от 25.12.2017 № 239 “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"