Субъекты КИИ к 2022 году должны перейти на отечественное ПО и оборудование – проект указа президента

239

Для общественного обсуждения опубликованы разработанные Минкомсвязью проекты указа президента и постановления правительства о переходе объектов критической информационной инфраструктуры (КИИ) на использование российского и евразийского программного обеспечения – до 1 января 2021 года, российского оборудования – до 1 января 2022 года.

Согласно проекту указа, правительству РФ до 1 сентября 2020 года необходимо утвердить требования к программному обеспечению и оборудованию, используемому на объектах КИИ, и порядок перехода на преимущественное использование российского программного обеспечения и оборудования.

Проекты указа и постановления разработаны в целях обеспечения информационной безопасности в экономической сфере, в том числе обеспечения технологической независимости объектов КИИ, и в соответствии с пунктом 1 части 1 статьи 6 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (в этом пункте говорится, что «президент Российской Федерации определяет основные направления государственной политики в области обеспечения безопасности критической информационной инфраструктуры» — ред. )

Согласно пояснительной записке, документы разработаны во исполнение поручения президента от 2 июля 2019 года, согласно которому правительству необходимо было до 1 октября 2019 года представить предложения о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры путём использования преимущественно отечественного программного обеспечения.

Поручение было дано по итогам «Прямой линии» Владимира Путина, где он ответил на вопрос главы InfoWatch Натальи Касперской о том, как запустить процесс импортозамещения в стране — в связи с историей преследования китайской компании Huawei со стороны США, в связи с атаками на энергосистемы Венесуэлы и сообщениями об атаках на энергосистемы России. «Важно защитить критически важные инфраструктуры, в том числе и с помощью таких компаний, как ваша. Мы это делаем. Нужно обеспечить внутренний рынок для этих продуктов. Будем подталкивать, даже если это не очень рыночные методы», — отметил Путин, отвечая Касперской.

Подробнее об импортозамещении программного обеспечения, о том, что и каким образом следует делать для этого, — в интервью Натальи Касперской для D-Russia.ru.

Проект постановления правительства определяет Минкомсвязь федеральным органом исполнительной власти, осуществляющим контроль за соблюдением порядка в части программного обеспечения, Минпромторг – в части оборудования.

Критическая информационная инфраструктура

Критическая информационная инфраструктура – объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ.

Субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, АСУ, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Источникзакон о КИИ

Используемое на объектах КИИ ПО и оборудование должно быть, согласно проекту постановления, включено в единый реестр российского программного обеспечения (РПО) или единый реестр евразийского программного обеспечения (РЕП) и (или) в единый реестр российской радиоэлектронной продукции (РРП), за исключением:

  • отсутствия в РПО или в РЕП соответствующего класса (типа), являющегося аналогом иностранного ПО, используемого субъектом КИИ;
  • отсутствия в РРП сведений о телекоммуникационном оборудовании, являющемся аналогом иностранного оборудования, используемым субъектом КИИ;
  • наличия сведений о телекоммуникационном оборудовании в РРП, не позволяющим по своим техническим характеристикам достичь определенных законодательством целей и задач субъекта КИИ.

При использовании ПО и (или) оборудования, не включенного в РПО (или РЕП) и (или) в РРП, должна быть обеспечена возможность модернизации ПО и (или) оборудования российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц; возможность гарантийной и технической поддержки ПО и (или) оборудования российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц.

К ПО и (или) оборудованию, предназначенному для обеспечения безопасности значимых объектов КИИ, дополнительно к настоящим требованиям применяются требования, утверждаемые федеральным органом исполнительной власти (ФОИВ), уполномоченным в области обеспечения безопасности КИИ Российской Федерации (ФСТЭК).

К ПО и (или) оборудованию, предназначенному для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах, дополнительно к настоящим требованиям применяются требования, утверждаемые ФОИВ, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ФСБ).

Субъекты КИИ обязаны провести анализ требований к программному обеспечению и оборудованию; анализ наличия аналогов используемого (планируемого к использованию) иностранного ПО и (или) оборудования, включенных в РПО, РЕП и (или) РРП, текущих сроков амортизации, используемых субъектом КИИ оборудования и срока действия прав на использование ПО в отношении используемого ПО и (или) оборудования, сведения о которых не включены в РПО, РЕП и РРП.

По результатам проведенного анализа, руководствуясь порядком, устанавливаемым совместно Минкомсвязью, Минпромторгом ФСБ и ФСТЭК, направить на согласование перечень используемого и (или) планируемого к использованию иностранного ПО и (или) оборудования, с кратким обоснованием предъявляемых требований: в части ПО в Минкомсвязь России; в части оборудования в Минпромторг России.

С учётом проведённого анализа и при наличии (в случае необходимости) согласования Минкомсвязи России и (или) Минпромторга России необходимо определить перечень потенциального российского ПО и (или) оборудования для дальнейшего перехода на преимущественное его использование в своей деятельности, подготовить и утвердить план перехода на преимущественное использование российского ПО и (или) оборудования, и в течение 30 (тридцати) рабочих дней с момента утверждения плана направить его в Минкомсвязь России и Минпромторг России.

«Сегодня положение таково: чем более серьёзной защиты требуют объекты КИИ, тем там выше доля импортного ПО и оборудования. Положение необходимо менять, недавно это вновь продемонстрировано пандемией – мы оказались в серьёзной зависимости от иностранных сервисов (Coursera, Zoom), которые работали с отказами. То, что Минкомсвязь разработала проекты указа президента и постановления, это хорошо. Однако текст документов, во-первых, оставляет субъектам КИИ лазейку в виде обоснования необходимости закупки иностранного ПО и оборудования. Во-вторых, в них нет плана поэтапного перевода объектов КИИ на отечественные решения. Чтобы добиться серьёзного результата, текст предложенных Минкомсвязью документов надо дорабатывать», — сообщил D-Russia.ru руководитель центра компетенций по импортозамещению в сфере ИКТ Илья Массух.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться:

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь