Найти в Дзене
АРСИБ
858 подписчиков

ПРОБЛЕМЫ ИМПОРТОЗАМЕЩЕНИЯ КОМПОНЕНТОВ ОБЪЕКТОВ КИИ

71
10 мин
В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ. В рамках данной статьи поговорим о том, что уже сделано, что еще предстоит сделать (пошаговый план перехода на доверенные ПАК) и какие возникают (могут возникнуть) сложности в реализации мер по обеспечению технологической независимости и безопасности КИИ. В настоящее время, нормативно-правовую базу в части импортозамещения компонентов объектов КИИ составляют: Следует отметить, что часть отраслевых «планов перехода» имеет ограниченный характер (ограничительную пометку) и отсутствует в открытых источниках. Оба указа Президента РФ устанавливают запреты (с 1 января 2025 года): Указ Президента РФ от 30 марта 2022 г. № 166 запрещает использовать иностранное ПО, в том числе в составе ПАК на значимых объектах КИИ (далее – ЗОКИИ), а Указ Президента РФ от 1 мая 2022 г. № 250 запрещает использовать средства защиты информации, странами происхождения которых являются и

В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ. В рамках данной статьи поговорим о том, что уже сделано, что еще предстоит сделать (пошаговый план перехода на доверенные ПАК) и какие возникают (могут возникнуть) сложности в реализации мер по обеспечению технологической независимости и безопасности КИИ.

В настоящее время, нормативно-правовую базу в части импортозамещения компонентов объектов КИИ составляют:

  • Указ Президента РФ от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»
  • Указ Президента РФ от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»
  • Постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации
  • Постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (вместе с «Правилами перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»)
  • Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 18.01.2023 № 21 «Об утверждении Методических рекомендаций по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации, и о реализации мер, направленных на ускоренный переход органов государственной власти и организаций на использование российского программного обеспечения в Российской Федерации»
  • Приказ Минпромторга России от 06.03.2023 № 722 «Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии».

Следует отметить, что часть отраслевых «планов перехода» имеет ограниченный характер (ограничительную пометку) и отсутствует в открытых источниках.

Оба указа Президента РФ устанавливают запреты (с 1 января 2025 года): Указ Президента РФ от 30 марта 2022 г. № 166 запрещает использовать иностранное ПО, в том числе в составе ПАК на значимых объектах КИИ (далее – ЗОКИИ), а Указ Президента РФ от 1 мая 2022 г. № 250 запрещает использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении РФ недружественные действия, либо производителями которых являются организации, находящиеся под контролем таких иностранных государств.

Говоря простым языком, для выполнения требований данных указов необходимо к 1 января 2025 года обеспечить применение отечественного ПО на всех ЗОКИИ.

Процедуры, связанные с переходом на российское ПО, установлены в трех документах, утвержденных Постановлением Правительства РФ от 22.08.2022 № 1478:

1. Требования к ПО, используемому на ЗОКИИ.

Данные требования устанавливают, что ПО, предназначенное для обеспечения безопасности ЗОКИИ, а также ПО, предназначенное для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах, должно:

  • быть включено в реестр российских программ или программ государств членов Евразийского экономического союза;
  • соответствовать требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).

По мнению автора, использование в конструкции данной правовой нормы словосочетания «соответствующим документом (сертификатом)» применено в целях закрепления обязанности использовать для обеспечения безопасности ЗОКИИ только сертифицированных наложенных средств защиты информации (в т.ч. программно-аппаратных) и возможности подтверждения соответствия требованиям по безопасности средств защиты информации встроенных в ПО ЗОКИИ в рамках испытаний/приемки вновь создаваемых объектов.

2. Правила перехода на преимущественное использование российского программного обеспечения.

В соответствии с данными правилами, субъекту КИИ необходимо:

  • Разработать план перехода на использование российского ПО в соответствии с приказом Министерства цифрового развития, связи и массовых коммуникаций РФ от 18.01.2023 № 21 и отраслевым планом мероприятий по обеспечению готовности к преимущественному использованию российского ПО;
  • утвердить план и направить его в Минцифры России (нормативно – в срок до 18 марта 2023 года);
  • при подготовке раздела 2 плана перехода использовать отраслевой план мероприятий по обеспечению готовности к преимущественному использованию российского ПО, полученный от отраслевого регулятора.

В настоящее время большинством субъектов КИИ уже давно подготовлены планы перехода на использование российского ПО и активно проводится реализация запланированных мероприятий.

3. Правила согласования закупок иностранного программного обеспечения

Документ устанавливает порядок согласования закупок иностранного ПО субъектами КИИ, владеющими ЗОКИИ.

Для согласования, субъект КИИ подает заявку в уполномоченный орган или Центральный Банк РФ (для финансовых организаций). Уполномоченными органами являются:

  • Министерство здравоохранения РФ
  • Министерство науки и высшего образования РФ
  • Министерство транспорта РФ
  • Министерство цифрового развития, связи и массовых коммуникаций РФ
  • Министерство энергетики РФ
  • Министерство промышленности и торговли РФ

В заявке указываются: наименование ПО, обоснование невозможности использования российского ПО на ЗОКИИ, сертификаты соответствия, предмет и стоимость договора, сведения о месте поставки и др.

Уполномоченный орган или Центральный Банк РФ рассматривает заявку и принимает решение о согласовании или отказе.

Заявки с ценой от 100 млн рублей рассматривает специальная комиссия.

Основания для отказа: недостоверность сведений, несоответствие установленному порядку, риски безопасности.

Решение о согласовании действует для конкретной закупки согласно заявке. Субъект КИИ может обжаловать отказ.

Также, для обеспечения использования на ЗОКИИ отечественного ПО, по мнению автора, рекомендуется:

  • новые объекты КИИ проектировать и создавать с использованием только российского ПО (в т.ч. в составе ПАК);
  • создать в субъекте КИИ «проектную группу», обеспечивающую управление процессами перехода организации на использование российского ПО на ЗОКИИ, мониторинг хода реализации плана перехода и достижения установленных показателей эффективности.

Постановление Правительства РФ от 14.11.2023 № 1912 утверждает правила перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им ЗОКИИ. С учетом того, что на сегодняшний день это новый нормативно-правовой акт, следует остановиться на более подробной характеристике установленных в нем требований:

Во-первых, в постановлении четко прописано, что такое доверенные ПАК и как определить момент завершения переход на доверенные ПАК:

Доверенный ПАК - ПАК, который соответствует одновременно трем критериям:

1. Сведения о ПАК содержатся в едином реестре российской радиоэлектронной продукции.

2. ПО, используемое в составе ПАК, соответствует требованиям, утвержденным постановлением Правительства РФ от 22.09.2022 № 1478.

3. ПАК, в случае реализации в нем функций защиты информации, соответствует требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документов (сертификатом).

ПАК - радиоэлектронная продукция, в том числе телекоммуникационное оборудование, программное обеспечение и технические средства, работающие совместно для выполнения одной или нескольких сходных задач. Здесь следует обратить особое внимание на указание в определении ПАК телекоммуникационного оборудования. По сути, это означает, что все коммутаторы, маршрутизаторы и т.п. используемые в составе ЗОКИИ должны быть заменены на отечественные. Ранее, телекоммуникационное оборудование «выпало» из действия Постановления Правительства РФ от 22.08.2022 № 1478 (так как в данном случае ПО неотделимо от компонентной базы), поэтому многие субъекты КИИ не планировали замену телекоммуникационного оборудования, за исключением межсетевых экранов являющихся средствами защиты. Данное же постановление предписывает необходимость такой замены.

Преимущественное применение доверенных ПАК - применение субъектами КИИ на принадлежащих им ЗОКИИ доверенных ПАК, доля которых по состоянию на 31 декабря 2029 г. составляет 100% в общем количестве ПАК, применяемых на ЗОКИИ.

Переход субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ осуществляется до 1 января 2030 г.

Во-вторых, с 1 сентября 2024 г. не допускается использование субъектами КИИ на ЗОКИИ ПАК, приобретенных с 1 сентября 2024 г. и не являющихся доверенными ПАК, за исключением случаев отсутствия произведенных в РФ доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ ПАК.

Иными словами, с 1 сентября 2024 года проектирование и создание новых ЗОКИИ должно осуществляться только на базе доверенных ПАК.

В-третьих, алгоритм перехода на преимущественное применение доверенных ПАК, по сути, аналогичен алгоритму перехода на российское ПО:

Шаг 1. Провести инвентаризацию используемых на ЗОКИИ ПАК и дождаться от уполномоченного органа отраслевого плана перехода. Срок разработки и утверждение уполномоченными органами планов организации перехода установлен до 1 сентября 2024 года.

К уполномоченным органам, помимо уже названных, добавились:

  • Министерство финансов РФ - в банковской сфере и иных сферах финансового рынка (за исключением кредитных организаций и некредитных финансовых организаций);
  • Федеральная служба государственной регистрации, кадастра и картографии - в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
  • Госкорпорация «Росатом» - в области атомной энергии;
  • Госкорпорация «Роскосмос» - в области ракетно-космической промышленности.

Шаг 2. Разработать и утвердить «свой» план перехода на преимущественное применение доверенных ПАК в срок до 01.01.2025.

Шаг 3. Осуществить переход на преимущественное применение доверенных ПАК в соответствии с планом в срок до 01.01.2030.

Таким образом, основные контрольные сроки для субъекта КИИ: 01.09.2024, 01.01.2025, 01.01.2030. Кроме того, необходимо учитывать, что субъектам КИИ необходимо ежегодно представлять отчет о реализации планов перехода.

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

-2

Источник: https://cs.groteck.com/IB_6_2023/54/index.html

Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!

1
Экономическое развитие России
110,6 тыс интересуются