Москва. 2 сентября. ИНТЕРФАКС - Вступил в силу запрет на использование на значимых объектах критической информационной инфраструктуры (КИИ) программно-аппаратных комплексов (ПАК) иностранного производства, приобретенных после 1 сентября текущего года.

С 1 сентября начало действовать положение правительственного постановления, устанавливающего порядок перевода объектов КИИ на доверенные ПАКи. Оно устанавливает запрет на использование на объектах КИИ программно-аппаратных комплексов, приобретенных субъектами КИИ после 1 сентября 2024 года и не являющихся при этом доверенными ПАК. То есть с этого времени заказчики смогут приобретать для использования на значимых объектах КИИ только доверенные программно-аппаратные комплексы.

Под доверенными ПАКами подразумевается радиоэлектронная продукция, информация о которой внесена в Реестр российской радиоэлектронной продукции, а ПО, используемое в составе ПАК, включено в реестры российского или евразийского софта. Кроме того, если ПАК предназначен для использования в области информационной безопасности, то он обязан иметь сертификат ФСТЭК или ФСБ.

Разработкой, производством, техподдержкой и сервисным обслуживанием доверенных ПАК должно заниматься АО "НПО КИС" - "Критические информационные системы" (дочерняя структура госкорпорации "Росатом").

Названным правпостановлением утверждены также предельный срок перевода объектов КИИ на доверенные ПАКи (1 января 2030 года), правила перевода объектов КИИ на использование доверенных ПАК, критерии отнесения программно-аппаратных комплексов к числу доверенных, план мероприятий по переводу объектов КИИ на доверенные ПАКи. При этом правила регламентируют порядок подготовки отраслевых и субъектовых планов такого перевода, порядок мониторинга выполнения работ по переводу и т.п. Также в правилах оговаривается, что под "преимущественным применением" подразумевается "применение субъектами КИИ на принадлежащих им значимых объектах КИИ доверенных ПАК, доля которых по состоянию на 31 декабря 2029 года составляет 100% от общего количества ПАК, применяемых субъектами КИИ на принадлежащих им значимых объектах КИИ".

В настоящее время формированием реестра значимых объектов КИИ занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК) РФ.

Согласно положениям 187-ФЗ ("О безопасности критической информационной инфраструктуры"), к субъектам КИИ относятся госорганы, российские юрлица и индивидуальные предприниматели, которым принадлежат ИС, ИТС и АСУ в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, в финсекторе, топливно-энергетическом комплексе, атомной энергетике, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Установлено три категории значимости объектов КИИ. Для значимых объектов должны быть созданы системы обеспечения информационной безопасности (СОИБ), удовлетворяющие определенным требованиям.

В 2022 году были приняты указы президента РФ №166 и №250, направленные на усиление уровня информбезопасности объектов КИИ. Так, например, последний из документов устанавливает запрет на использование импортных (из недружественных стран) СЗИ на объектах КИИ.

Кроме того, с марта 2023 года были снижены границы ущерба бюджету РФ, расцениваемого как значимый (в случае кибер-инцидентов на объектах КИИ). Также в перечень субъектов КИИ экономической сферы помимо банков включены финансовые организации, а к социально-значимым негативным последствиям сейчас относятся не только нарушения функционирования транспортной инфраструктуры, но и транспортных средств.

Таким образом, число субъектов КИИ, для которых перечисленные требования стали обязательными, значительно выросло. По словам участников рынка информационной безопасности, в настоящее время точное количество подобных объектов пока не известно. Ранее, при "старой" версии закона (187-ФЗ), число объектов КИИ оценивалось приблизительно в 50 тыс. информационных систем.