Министерство цифрового развития РФ завершило подготовку предложений по внесению поправок в действующее законодательство о критической информационной инфраструктуре. Соответствующий проект закона уже передан в Государственную думу, о чём министерство рассказало в своём официальном Телеграм-канале.
В отношении объектов критической информационной инфраструктуры в дальнейшем будут определены сроки перехода на использование исключительно российского программного обеспечения, которые будут коррелироваться с готовностью соответствующих решений к использованию. Помимо этого, подчёркивается, что сам процесс перехода и соблюдения сроков будут проконтролированы со стороны профильных госструктур.
В министерстве также указывают на то, что на данный момент выделяются две основные цели представленного проекта закона: первая из них — это переход объектов критической информационной инфраструктуры на российское ПО, а вторая — обеспечение высокого уровня безопасности значимых объектов критической информационной инфраструктуры.
Алексей Филиппов, методолог по информационной безопасности AKTIV.CONSULTING, высказал своё мнение по этому поводу: «Вчера в Госдуму был направлен законопроект о внесении изменений в 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Согласно пояснительной записке к проекту, цель изменений — обеспечение технологической независимости и безопасности КИИ в условиях санкций путем перехода на отечественное ПО, а также совершенствование процедур категорирования субъектов КИИ.
Конкретные изменения включают:
1. Наделение Правительства РФ дополнительными полномочиями по установлению:
- требований к используемому на ЗО КИИ ПО, а также порядка и условий возможного использования иностранного ПО;
- порядка и сроков перехода субъектов на отечественное ПО;
- порядка мониторинга перехода субъектов на отечественное ПО.
2. Изменения правил категорирования:
- теперь субъекты КИИ присваивают категории значимости своим объектам не только исходя из порядка, описанного в 127-ПП, но и с учетом методических указаний отраслевых регуляторов;
- отраслевые регуляторы официально смогут формировать типовые перечни ОКИИ, каждый в своей сфере деятельности, но только по согласованию таких перечней с ФСТЭК России;
- методические указания, регламентирующие особенности категорирования для каждой сферы деятельности, также будут разрабатывать отраслевые регуляторы по согласованию с ФСТЭК России.
3. Изменения правил мониторинга субъектов КИИ отраслевыми регуляторами:
- если в процессе мониторинга отраслевым регулятором выявлены недочеты (предоставленные сведения об объектах неполные и (или) неточные), то ФСТЭК России в 30-дневный срок направляет требование субъекту о необходимости корректировки сведений;
- субъект КИИ обязан в 10-дневный срок исправить сведения и направить их во ФСТЭК России либо обосновать отсутствие необходимости таких исправлений.
4. Наделение субъектов КИИ новыми обязанностями:
- соблюдение требований к используемому ПО на ЗО КИИ, описанных выше;
- обеспечение перехода на преимущественное использование отечественного ПО.
Если проект изменений пройдет рассмотрение без замечаний, то он может вступить в силу уже с 1 марта 2025 года.
Алексей Филиппов, методолог по ИБ AKTIV.CONSULTING, также отмечает, что требования Указа Президента №166 о технологической независимости КИИ частично перенесли в новый законопроект, который вчера внесли в Госдуму, и закрепили ответственность за надзор корректности категорирования субъектов на их отраслевых регуляторов. Кроме того, ожидаемые многими организациями изменения, которые касаются процесса категорирования и терминов «субъект» и «объект КИИ», так и не были внесены.
Эксперт также обращает внимание, что неоднозначным остается вопрос определения объектов КИИ. Если 127-ПП дает указания, как выявить критические процессы для определения объектов, то 187-ФЗ обрубает эту идею на корню, т. к. все ИС, АСУ и ИТКС субъекта являются объектами независимо от критических процессов.
Субъектами же все еще могут являться не только организации, осуществляющие деятельность в важных для государства сферах и имеющие ИС, АСУ, ИТКС, функционирующие в области обеспечения этой деятельности, но и организации, имеющие малую ценность для государства с точки зрения критичности. Они, как правило, не задействованы ни в одной из сфер деятельности, указанных в ФЗ, но имеют такие системы, которые функционируют в какой-либо из сфер. Наложение дополнительных требований отраслевыми регуляторами в методических указаниях может лишь усугубить и без того неоднозначное понимание законодательства.
Оригинал публикации на сайте CISOCLUB: "В Госдуму правительством внесены правки в законопроект о критической информационной инфраструктуре".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
