Москва. 16 ноября. ИНТЕРФАКС - Владельцы значимых объектов критической информационной инфраструктуры (КИИ) должны до 1 января 2030 года перевести такие объекты КИИ на использование доверенных программно-аппаратных комплексов (ПАК), говорится в правительственном постановлении об использовании доверенных ПАК на объектах КИИ.

"Действующее сейчас оборудование иностранного производства будет постепенно заменяться на технику и софт, которые находятся в соответствующих реестрах российской радиоэлектронной продукции и программного обеспечения", - говорится в материалах пресс-службы правительства РФ.

Сам документ устанавливает не только предельный срок перевода объектов КИИ на доверенные ПАКи (их разработкой, производством, техподдержкой и сервисным обслуживанием будет заниматься АО "НПО КИС" - "Критические информационные системы", созданное госкорпорацией "Росатом" осенью прошлого года), но и вводит норму о запрете использования на таких объектах программно-аппаратных комплексов, приобретенных субъектами КИИ после 1 сентября 2024 года и не являющихся при этом доверенными ПАК. То есть, с этого времени заказчики смогут приобретать для использования на значимых объектах КИИ только доверенные программно-аппаратные комплексы.

К этому же сроку (1 сентября 2024 года) ряд министерств и ведомств, а также Банк России, госкорпорации "Росатом" и "Роскосмос" должны подготовить и утвердить отраслевые планы перехода на доверенные ПАК в соответствующих областях, определить должностных лиц, ответственные за проведение такого перехода. При этом владельцы значимых объектов КИИ должны будут до 1 января 2025 года направить в уполномоченный орган утвержденные планы перехода на использование доверенных ПАК. В них должна будет включаться информация о соответствующих объектах КИИ, сведения о используемых на них доверенных и не доверенных ПАК, показатели перехода на использование доверенных комплексов, а также информация о прогнозируемых объемах затрат на реализацию плана перехода.

Также правпостановлением утверждены правила перевода объектов КИИ на использование доверенных ПАК, критерии отнесения программно-аппаратных комплексов к числу доверенных, план мероприятий по переводу объектов КИИ на доверенные ПАКи. Так, правила регламентируют порядок подготовки отраслевых и субъектовых планов такого перевода, порядок мониторинга выполнения работ по переводу и т.п. При этом в правилах оговаривается, что под "преимущественным применением" подразумевается "применение субъектами КИИ на принадлежащих им значимых объектах КИИ доверенных ПАК, доля которых по состоянию на 31 декабря 2029 года составляет 100% от общего количества ПАК, применяемых субъектами КИИ на принадлежащих им значимых объектах КИИ".

Планом мероприятий по переводу объектов КИИ на доверенные ПАКи предусмотрено, что к 1 сентября 2024 года названные министерства и ведомства должны будут определить субъектов КИИ (компании, организации, госорганы), в ведении которых находятся значимые объекты КИИ, которые предстоит перевести на доверенные ПАКи. К этому же времени должна быть собрана информация о программно-аппаратных комплексах, применяемых на значимых объектах КИИ.

В настоящее время формированием реестра значимых объектов КИИ занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК) РФ. При этом она сталкивается с заметными трудностями при определении категории объектов КИИ. Так по данным ФСТЭК, около 30% объектов КИИ не проходят проверку на соответствие той или иной категории значимости.

"За конец 2022 года и 2023 год нами было проверено около 40 тыс. систем (объектов КИИ - ИФ), - сказал в середине ноября заместитель директора ведомства Виталий Лютиков. - Треть систем возвращается на доработку, с точки зрения переоценки ущерба при нарушении их функционирования в результате киберинцидентов".

Как сообщалось, еще в мае текущего года Минпромторг представлял доработанный проект правпостановления о переходе на использование доверенных ПАК на значимых объектах КИИ. Тогда министерство учло в документе только некоторые замечания и предложения других ведомств.

Этот вариант документа предусматривал переход на использование доверенных ПАК с 1 января 2026 года. В проекте правпостановления были также определены порядок и правила перехода, приведены типовые формы различных документов.

Это не первый нормативный правовой акт, направленный на обеспечение технологической независимости и безопасности КИИ. Ранее правительство ввело запрет на приобретение и использование на таких объектах иностранного ПО, установило срок (1 января 2025 года) перевода объектов КИИ на преимущественное использование российского программного обеспечения.

Кроме того, с марта текущего года были снижены границы ущерба бюджету РФ, расцениваемого как значимый (в случае киберинцидентов на объектах КИИ). Кроме того, в перечень субъектов КИИ экономической сферы помимо банков включены финансовые организации, а к социально значимым негативным последствиям сейчас относятся не только нарушения функционирования транспортной инфраструктуры, но и транспортных средств.

Таким образом, число субъектов КИИ, для которых перечисленные требования стали обязательными, значительно выросло. По словам участников рынка информационной безопасности, в настоящее время точное количество подобных объектов не известно. Ранее, при "старой" версии закона "О безопасности критической информационной инфраструктуры РФ" (187-ФЗ), число объектов КИИ оценивалось приблизительно в 50 тыс. информационных систем.

Ранее Минпромторг отмечал, что существуют значительные сложности с категорированием объектов КИИ. В текущем году ведомство проводит их проверку.