Владельцев КИИ могут обязать перейти на доверенные программно-аппаратные комплексы к 2026г
13 апреля 2023 21:23
Москва. 13 апреля. ИНТЕРФАКС - Владельцев объектов критической информационной инфраструктуры (КИИ) могут обязать перейти на использование доверенных программно-аппаратных комплексов к 1 января 2026 года, сообщил "Интерфаксу" источник, знакомый с положениями проекта соответствующего правительственного постановления.
По словам источника, документ доработан Минпромторгом по результатам согласительного совещания и направлен на согласование заинтересованным ведомствам. Сам проект правпостановления определяет порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ. Также документом предлагается утвердить правила такого перехода и срок, в течение которого он должен быть совершен - до 1 января 2026 года.
При этом источник подчеркнул, что одно из положений постановления предусматривает, что на объектах КИИ нельзя будет использовать не доверенные ПАК, приобретенные после вступления в силу этого документа.
Согласно документу, Минздрав, Минобрнауки, Минтранс, Минцифры, Минэнерго, Минпромторг и Минфин, а также госкорпорации "Росатом" и "Роскосмос" должны будут в течение четырех месяцев (после вступления его в силу) подготовить отраслевые планы перехода на использование доверенных ПАК. При этом в ведомствах и компаниях должен быть назначен ответственный (в должности не ниже заместителя руководителя) за организацию перехода субъектов КИИ на применение доверенных программно-аппаратных комплексов.
Источник отметил, что это правопостановление, в случае его принятия, будет действовать в течение шести лет.
В правилах перехода, которые должны быть утверждены постановлением, определено, в частности, понятие доверенного ПАК. К последним могут быть отнесены программно-аппаратные комплексы, информация о которых включена в Реестр российской радиоэлектронной продукции, а используемое в этих ПАК программное обеспечение включено в Реестр российского ПО.
При этом оговаривается, что если ПАК предполагается использовать для обеспечения информационной безопасности, то он должен будет соответствовать требованиям ФСТЭК и ФСБ.
Отраслевые планы перехода должны будут включать в себя перечень организационно-технических мероприятий по переходу субъектов КИИ на преимущественное (понимается исключительное) использование доверенных ПАК, а также прогнозные показатели такого перехода.
Кроме того, названные министерства и госкорпорации должны будут обеспечить формирование и ведение реестров планов перехода на использование доверенных ПАК в подотчетных отраслях.
Субъекты КИИ (владельцы объектов КИИ), в свою очередь, должны будут подготовить собственные планы перехода на использование доверенных ПАК. В них должна включаться информация о соответствующих объектах КИИ, сведения о используемых на них доверенных и не доверенных ПАК, показатели перехода на использование доверенных программно-аппаратных комплексов, а также информация о прогнозируемых объемах затрат на реализацию плана перехода.
Субъекты КИИ должны будут ежегодно отчитываться перед соответствующими ведомствами о ходе реализации своих планов перехода на доверенные ПАК. Министерства, свою очередь, будут направлять в Минпромторг отчеты о реализации отраслевых планов перехода, а последнему предстоит также ежегодно отчитываться перед правительством РФ.
В правилах оговаривается, что названные министерства и госкорпорации могут привлекать к реализации этих планов отраслевые центры компетенций по импортозамещению.
Это не первый нормативный правовой акт, направленный на обеспечение технологической независимости и безопасности КИИ. Ранее правительство ввело запрет на приобретение и использование на объектах КИИ иностранного ПО, установило срок (1 января 2025 года) перевода объектов КИИ на преимущественное использование российского программного обеспечения.
Кроме того, с марта текущего года были снижены границы ущерба бюджету РФ, расцениваемого как значимый (в случае кибер-инцидентов на объектах КИИ). Кроме того, в перечень субъектов КИИ экономической сферы помимо банков включены финансовые организации, а к социально-значимым негативным последствиям сейчас относятся не только нарушения функционирования транспортной инфраструктуры, но и транспортных средств.
Таким образом, число субъектов КИИ, для которых перечисленные требования стали обязательными, значительно выросло. По словам участников рынка информационной безопасности, в настоящее время точное количество объектов КИИ пока не известно (ожидается, что во второй половине текущего года будет сформирован реестр значимых объектов КИИ).
Тем не менее, их число значительно выросло после вступления в силу новой нормативной базы. Ранее, при "старой" версии закона "О безопасности критической информационной инфраструктуры РФ" (187-ФЗ), число объектов КИИ оценивалось приблизительно в 50 тыс. информационных систем.