Контакты
Подписка 2025
Статьи по информационной безопасности

Проблемы импортозамещения компонентов объектов КИИ в 2024 году

Константин Саматов, 16/01/24

В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

ris49

В настоящее время нормативно-правовую базу в части импортозамещения компонентов объектов КИИ составляют:

  • Указ Президента РФ от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации";
  • Указ Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации";
  • Постановление Правительства РФ от 22.08.2022 № 1478 "Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов (ПАК), используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации;
  • постановление Правительства РФ от 14.11.2023 № 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" (вместе с Правилами перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации);
  • приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 18.01.2023 № 21 "Об утверждении Методических рекомендаций по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации, и о реализации мер, направленных на ускоренный переход органов государственной власти и организаций на использование российского программного обеспечения в Российской Федерации";
  • приказ Минпромторга России от 06.03.2023 № 722 "Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии".

Следует отметить, что часть отраслевых "планов перехода" имеет ограниченный характер (ограничительную пометку) и отсутствует в открытых источниках.

Оба указа президента РФ устанавливают запреты с 1 января 2025 г.. Указ Президента РФ от 30 марта 2022 г. № 166 запрещает использовать иностранное ПО, в том числе в составе ПАК на значимых объектах КИИ (ЗОКИИ), а Указ Президента РФ от 1 мая 2022 г. № 250 запрещает использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении РФ недружественные действия, либо производителями которых являются организации, находящиеся под контролем таких иностранных государств.

Процедуры, связанные с переходом на российское ПО, установлены в трех документах, утвержденных постановлением Правительства РФ от 22.08.2022 № 1478.

Требования к ПО, используемому на ЗОКИИ

Данные требования устанавливают, что ПО, предназначенное для обеспечения безопасности ЗОКИИ, а также ПО, предназначенное для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах, должно:

  • быть включено в реестр российских программ или программ государств – членов Евразийского экономического союза;
  • соответствовать требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).

Использование в конструкции данной правовой нормы словосочетания "соответствующим документом (сертификатом)" применено в целях закрепления обязанности использовать для обеспечения безопасности ЗОКИИ только сертифицированные наложенные средства защиты информации (в том числе программно-аппаратные) и возможности подтверждения соответствия требованиям по безопасности [1] средств защиты информации встроенных в ПО ЗОКИИ в рамках испытаний/приемки вновь создаваемых объектов.

Правила перехода на преимущественное использование российского программного обеспечения

В соответствии с данными правилами субъекту КИИ необходимо:

  • разработать план перехода на использование российского ПО в соответствии с приказом Министерства цифрового развития, связи и массовых коммуникаций РФ от 18.01.2023 № 21 и отраслевым планом мероприятий по обеспечению готовности к преимущественному использованию российского ПО;
  • утвердить план и направить его в Минцифры России (нормативно – в срок до 18 марта 2023 г.);
  • при подготовке раздела 2 плана перехода использовать отраслевой план мероприятий по обеспечению готовности к преимущественному использованию российского ПО, полученный от отраслевого регулятора.

Правила согласования закупок иностранного программного обеспечения

Документ устанавливает порядок согласования закупок иностранного ПО субъектами КИИ, владеющими ЗОКИИ.

Для согласования субъект КИИ подает заявку в уполномоченный орган или Центральный Банк РФ (для финансовых организаций). Уполномоченными органами являются:

  • Министерство здравоохранения РФ;
  • Министерство науки и высшего образования РФ;
  • Министерство транспорта РФ;
  • Министерство цифрового развития, связи и массовых коммуникаций РФ;
  • Министерство энергетики РФ;
  • Министерство промышленности и торговли РФ.

В заявке указываются: наименование ПО, обоснование невозможности использования российского ПО на ЗОКИИ, сертификаты соответствия, предмет и стоимость договора, сведения о месте поставки и др.

Уполномоченный орган или Центральный Банк РФ рассматривает заявку и принимает решение о согласовании или отказе.

Заявки с ценой от 100 млн руб. рассматривает специальная комиссия.

Основания для отказа: недостоверность сведений, несоответствие установленному порядку, риски безопасности.

Решение о согласовании действует для конкретной закупки согласно заявке. Субъект КИИ может обжаловать отказ.

Для обеспечения использования на ЗОКИИ отечественного ПО, по моему мнению, рекомендуется:

  • новые объекты КИИ проектировать и создавать с использованием только российского ПО (в том числе в составе ПАК);
  • создать в субъекте КИИ "проектную группу", обеспечивающую управление процессами перехода организации на использование российского ПО на ЗОКИИ, мониторинг хода реализации плана перехода и достижения установленных показателей эффективности.

Постановление Правительства РФ № 1912

Постановление Правительства РФ от 14.11.2023 № 1912 утверждает правила перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им ЗОКИИ. С учетом того, что на сегодняшний день это новый нормативно-правовой акт, следует остановиться на более подробной характеристике установленных в нем требований.

Во-первых, в постановлении четко прописано, что такое доверенные ПАК и как определить момент завершения переход на доверенные ПАК.

Доверенный ПАК – тот, который соответствует одновременно трем критериям:

  1.  Сведения о ПАК содержатся в едином реестре российской радиоэлектронной продукции.
  2. ПО, используемое в составе ПАК, соответствует требованиям, утвержденным постановлением Правительства РФ от 22.09.2022 № 1478.
  3. ПАК, в случае реализации в нем функций защиты информации, соответствует требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документов (сертификатом).
ПАК – радиоэлектронная продукция, в том числе телекоммуникационное оборудование, программное обеспечение и технические средства, работающие совместно для выполнения одной или нескольких сходных задач. По сути, это означает, что все коммутаторы, маршрутизаторы и т.п., используемые в составе ЗОКИИ, должны быть заменены на отечественные. Ранее телекоммуникационное оборудование "выпало" из действия

постановления Правительства РФ от 22.08.2022 № 1478 (так как в данном случае ПО неотделимо от компонентной базы), поэтому многие субъекты КИИ не планировали замену телекоммуникационного оборудования, за исключением межсетевых экранов, являющихся средствами защиты. Данное же постановление предписывает необходимость такой замены.

Переход субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ осуществляется до 1 января 2030 г.

Во-вторых, с 1 сентября 2024 г. не допускается использование субъектами КИИ на ЗОКИИ ПАК, приобретенных с 1 сентября 2024 г. и не являющихся доверенными ПАК, за исключением случаев отсутствия произведенных в РФ доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ ПАК.

Иными словами, с 1 сентября 2024 г. проектирование и создание новых ЗОКИИ должно осуществляться только на базе доверенных ПАК.

В-третьих, алгоритм перехода на преимущественное применение доверенных ПАК, по сути, аналогичен алгоритму перехода на российское ПО:

Шаг 1. Провести инвентаризацию используемых на ЗОКИИ ПАК и дождаться от уполномоченного органа отраслевого плана перехода. Срок разработки и утверждение уполномоченными органами планов организации перехода установлен до 1 сентября 2024 г.

К уполномоченным органам, помимо уже названных, добавились:

  • Министерство финансов РФ – в банковской сфере и иных сферах финансового рынка (за исключением кредитных организаций и некредитных финансовых организаций);
  • Федеральная служба государственной регистрации, кадастра и картографии – в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
  • Госкорпорация "Росатом" – в области атомной энергии;
  • Госкорпорация "Роскосмос" – в области ракетно-космической промышленности.

Шаг 2. Разработать и утвердить "свой" план перехода на преимущественное применение доверенных ПАК в срок до 01.01.2025.

Шаг 3. Осуществить переход на преимущественное применение доверенных ПАК в соответствии с планом в срок до 01.01.2030.

Таким образом, основные контрольные сроки для субъекта КИИ: 01.09.2024, 01.01.2025, 01.01.2030. Кроме того, необходимо учитывать, что субъектам КИИ необходимо ежегодно представлять отчет о реализации планов перехода.

  1. Установлены приказом ФСТЭК России от 25.12.2017 № 239 “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"
Темы:ИмпортозамещениеКИИЖурнал "Информационная безопасность" №6, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Особенности защиты данных в медицинских организациях
    Дмитрий Вощуков, GR-специалист "СёрчИнформ"
    Отрасль здравоохранения является одной из самых зарегулированных. Однако, число инцидентов ИБ растет, и цена нарушения в медучреждении высока. Разберем, с какими типовыми нарушениями сталкиваются медицинские организации и как на практике реализуются меры информационной безопасности в здравоохранении.
  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Защита КИИ: уроки 2023 года
    Дмитрий Беляев, директор управления безопасности ООО “АБТ”
    2023 год стал годом значительных испытаний для российской критической инфраструктуры. Два крупных инцидента, произошедших в этот период, продемонстрировали уязвимость даже самых подготовленных организаций перед изощренными кибератаками. Эти случаи дают нам ценные уроки, которые помогут улучшить защиту КИИ в будущем.
  • Актуальные вопросы защиты КИИ в 2025 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В 2025 г. защита критической информационной инфраструктуры по-прежнему останется одной из приоритетных задач для организаций, работающих в ключевых отраслях экономики. Основные вызовы связаны с усилением требований регуляторов, необходимостью соблюдения новых нормативно-правовых требований, внедрением мер по импортозамещению в условиях ограниченного доступа к зарубежным технологиям и защитой от постоянно совершенствующихся компьютерных атак.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности