Владельцам объектов КИИ РФ могут дать 5 лет на их перевод на использование доверенных ПАК
25 октября 2023 18:56
Москва. 25 октября. ИНТЕРФАКС - Владельцам значимых объектов критической информационной инфраструктуры (КИИ) могут установить 1 января 2030 года как предельный срок перевода таких объектов на использование доверенных программно-аппаратных комплексов (ПАК), сообщил "Интерфаксу" источник, знакомый с результатами согласования заинтересованными госорганами соответствующего проекта правительственного постановления.
По его словам, по результатам согласительного совещания Минпромторгу поручено доработать проект постановления правительства РФ о переводе значимых объектов КИИ на работу с доверенными ПАК (их разработкой, производством, техподдержкой и сервисным обслуживанием будет заниматься АО "НПО КИС" - "Критические информационные системы", созданное госкорпорацией "Росатом" осенью прошлого года), установив в нем срок перехода на преимущественное применение доверенных ПАК с 1 января 2025 года до 1 января 2030 года. При этом оговаривается, что под "преимущественным применением" подразумевается "применение субъектами КИИ на принадлежащих им значимых объектах КИИ доверенных ПАК, доля которых по состоянию на 31 декабря 2029 года составляет 100% от общего количества ПАК, применяемых субъектами КИИ на принадлежащих им значимых объектах КИИ".
Также в доработанный проект правпостановления предлагается добавить норму о запрете использования на значимых объектах КИИ программно-аппаратных комплексов, приобретенных субъектами КИИ после 1 сентября 2024 года и не являющихся при этом доверенными ПАК. То есть, с этого времени заказчики смогут приобретать для использования на значимых объектах КИИ только доверенные программно-аппаратные комплексы.
К этому же сроку (1 сентября 2024 года) должны быть утверждены отраслевые планы перехода на доверенные ПАК в соответствующих областях, определены должностные лица, ответственные за проведение такого перехода. При этом владельцы значимых объектов КИИ должны будут до 1 января 2025 года направить в уполномоченный орган утвержденные планы перехода на использование доверенных ПАК. В них должна включаться информация о соответствующих объектах КИИ, сведения о используемых на них доверенных и не доверенных ПАК, показатели перехода на использование доверенных комплексов, а также информация о прогнозируемых объемах затрат на реализацию плана перехода.
Как сообщалось, в мае текущего года Минпромторг уже представлял доработанный проект правпостановления о переходе на использование доверенных ПАК на значимых объектах КИИ. Тогда министерство учло в документе только некоторые замечания и предложения других ведомств.
Этот вариант документа предусматривал переход на использование доверенных ПАК с 1 января 2026 года. В проекте правпостановления были также определены порядок и правила перехода, приведены типовые формы различных документов.
В правилах перехода, прописанных в проекте правпостановления, было определено, в частности, понятие доверенных ПАК. К ним могут быть отнесены комплексы, информация о которых включена в Реестр российской радиоэлектронной продукции, а используемое программное обеспечение включено в Реестр российского ПО. При этом оговаривается, что если ПАК предполагается использовать для обеспечения информационной безопасности, то он должен будет соответствовать требованиям ФСТЭК и ФСБ.
Также в документе отмечалось, что министерства и госкорпорации должны будут обеспечить формирование и ведение реестров планов перехода на использование доверенных ПАК в подотчетных отраслях. Субъекты КИИ, в свою очередь, должны будут ежегодно отчитываться перед соответствующими ведомствами о ходе реализации своих планов перехода на доверенные ПАК. Последние будут направлять в Минпромторг отчеты о реализации отраслевых планов перехода, а последнему предстоит также ежегодно отчитываться перед правительством РФ.
В правилах оговаривается, что министерства и госкорпорации могут привлекать к реализации этих планов отраслевые центры компетенций по импортозамещению.
Это не первый нормативный правовой акт, направленный на обеспечение технологической независимости и безопасности КИИ. Ранее правительство ввело запрет на приобретение и использование на таких объектах иностранного ПО, установило срок (1 января 2025 года) перевода объектов КИИ на преимущественное использование российского программного обеспечения.
Кроме того, с марта текущего года были снижены границы ущерба бюджету РФ, расцениваемого как значимый (в случае кибер-инцидентов на объектах КИИ). Кроме того, в перечень субъектов КИИ экономической сферы помимо банков включены финансовые организации, а к социально-значимым негативным последствиям сейчас относятся не только нарушения функционирования транспортной инфраструктуры, но и транспортных средств.
Таким образом, число субъектов КИИ, для которых перечисленные требования стали обязательными, значительно выросло. По словам участников рынка информационной безопасности, в настоящее время точное количество подобных объектов пока не известно (ожидается, что во второй половине текущего года будет сформирован соответствующий реестр). В то же время Минэкономразвития, ссылаясь на экспертные оценки, считает, что в России действует порядка 25 тыс. объектов КИИ.
К настоящему времени их общее число, как предполагается, значительно выросло - после вступления в силу новой нормативной базы. Ранее, при "старой" версии закона "О безопасности критической информационной инфраструктуры РФ" (187-ФЗ), число объектов КИИ оценивалось приблизительно в 50 тыс. информационных систем.
Ранее Минпромторг отмечал, что существуют значительные сложности с категорированием объектов КИИ. В текущем году министерство проводит их проверку.