Переход критической инфраструктуры на отечественный софт и программно-аппаратные комплексы
В 2022-2023 годах вышло несколько важных нормативных актов (Указ Президента № 166 и Постановление Правительства № 162), обязывающих субъектов критической инфраструктуры перейти на использование российского софта и программно-аппаратных комплексов. Разбираем все по порядку в этой статье.
Статью подготовила:
В материале мы собрали краткий гайд по требованиям к переходу, а именно:
- Какими нормативными актами в России сегодня регулируется КИИ?
- Относится ли ваша компания к критической инфраструктуре? (КИИ)
- Если вы КИИ, какие обязанности на вас налагаются?
- Что такое российское ПО?
- Что такое доверенный программно-аппаратный комплекс?
- В какие сроки вы обязаны осуществить переход?
- Что будет, если этого не сделать?
Какими нормативными актами в России сегодня регулируется КИИ?
При работе над статьей мы опирались на:
- ФЗ от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ»;
- Постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»;
- Постановление Правительства от 17.02.2018 № 162 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ»;
- Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений;
- Указ Президента РФ от 30 марта 2022 г. N 166;
- Методические рекомендации по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации.
- Приказ ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
Есть и более локальные документы. К таковым относятся ведомственные акты, например, приказы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности.
Относится ли ваша компания к критической инфраструктуре? (КИИ) Что такое критическая инфраструктура?
Чтобы понять, относятся ли эти требования к вам, разберем, что такое критическая инфраструктура.
Объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. (ст. 2 ФЗ «О безопасности КИИ РФ»)
Короче говоря, объекты КИИ — это информационные системы, принадлежащие субъектам КИИ и помогающие в выполнении критических процессов.
Субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. (ст. 2 ФЗ «О безопасности КИИ РФ»)
К субъектам КИИ относятся все госорганы, госучреждения, а также юрлица и ИП, которые работают в сферах:
- топливно-энергетического комплекса;
- энергетики;
- горнодобывающей промышленности;
- химической промышленности;
- здравоохранения;
- науки;
- транспорта;
- связи;
- государственной регистрации прав на недвижимое имущество и сделок с ним;
- банковской сфере и иных сферах финансового рынка;
- в области атомной энергии;
- оборонной, ракетно-космической, металлургической промышленности.
А также все ЮЛ и (или) ИП, которые обеспечивают взаимодействие указанных систем или сетей. Здесь имеется в виду продажа лицензий для компаний из вышеперечисленных отраслей, хостинг, операторы связи.
Если ваша компания работает в одной из указанных сфер, вы относитесь к критической инфраструктуре, и в отношении вас начинает действовать законодательство о КИИ.
Если вы субъект КИИ, какие обязанности на вас налагаются?
Субъекты КИИ обязаны:
- незамедлительно информировать о компьютерных инцидентах ГосСОПКА;
- оказывать содействие ГосСОПКА;
- в случае установки на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность;
- проводить категорирование объектов КИИ, определять значимые объекты КИИ (ст. 9 ФЗ от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ»).
Категорирование — это присвоение всем объектам КИИ, принадлежащим компании, категории значимости. Критерии для присвоения категории значимости тут.
Значимые объекты КИИ — это программы и информационные системы, атаки на которые повлекут существенный социальный, экономический или экологический вред. Критерии определения критичности вреда выделяются в Перечне показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.
Результаты категорирования присылаются во ФСТЭК для утверждения ими списка значимых объектов. Форма с рекомендациями по заполнению представлена в приказе ФСТЭК.
К значимым объектам КИИ предъявляются дополнительные особые требования, а именно:
- на значимых объектах КИИ должно использоваться российское ПО;
- на значимых объектах КИИ должны использоваться доверенные программно-аппаратные комплексы.
Что имеется в виду под российским ПО?
Российское ПО – это ПО включенное в Реестр отечественного ПО aka Реестр Минцифры.
Российское программное обеспечение – Программное обеспечение, в том числе в составе программно-аппаратного комплекса, сведения о котором включены в единый реестр российского ПО. (Методические рекомендации по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации).
Даже если компания-разработчик — российская, ее продукты не будут считаться российским ПО, пока они не будут включены в РРПО.
В какие сроки вы обязаны осуществить переход?
Сроки перехода КИИ на отечественное ПО следующие:
Также некоторые компании должны перейти на полное использование отечественного софта и ПАК не только на значимых объектах КИИ.
Что такое доверенный ПАК?
14 ноября вышло Постановление Правительства Российской Федерации от 14.11.2023 № 1912, обязывающее перевести значимые объекты критической инфраструктуры перейти на доверенные (отечественные) программно-аппаратные комплексы (ПАКи).
Критерии признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами
1. Сведения о программно-аппаратном комплексе содержатся в едином реестре российской радиоэлектронной продукции.
2. Программное обеспечение, используемое в составе программно-аппаратного комплекса, соответствует требованиям к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц« (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, утвержденным постановлением Правительства Российской Федерации от 22 августа 2022 г. № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц« (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом »О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом »О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».
3. Программно-аппаратный комплекс в случае реализации в нем функции защиты информации соответствует требованиям, установленным Федеральной службой по техническому и экспортному контролю и (или) Федеральной службой безопасности Российской Федерации в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).
Таким образом, ПАК можно признать доверенным, если:
- все ПО в его составе включено в реестр отечественного ПО;
- ПАК включен в реестр РЭП (радио-электронной продукции). Ссылка на него тут;
- Если ПАК имеет основную функцию защиты информации, то он должен также иметь сертификаты ФСТЭК или ФСБ.
Таким образом, ПО в любом случае придется регистрировать в Минцифры (как в составе ПАК, так и отдельное ПО).
В какие сроки вы обязаны осуществить переход?
Ниже приведена таблица со сроками перехода на отечественные ПАК компаниям со значимыми объектами КИИ.
Таким образом, провести категорирование принадлежащих вам объектов КИИ и направить планы перехода на доверенные ПАКи во ФСТЭК нужно уже в этом году.
Что будет, если этого не сделать?
Прокуратура и ФСТЭК имеют полномочия на проведение проверок в отношении КИИ. Поэтому, если не выполнить обязанности по категорированию и отправке во ФСТЭК планов перехода на российские ПО и ПАК, то к вам могут прийти с проверкой. ФСТЭК редко проводит ее в компаниях, а вот прокуратура вполне может осуществить.
Что грозит компаниям, если при проверке выявится правонарушение:
- Уголовная ответственность по ст. 274.1. ч. 3. до 6 лет лишения свободы лиц, ответственных за обеспечение безопасности КИИ (как правило, руководители организаций) или до 10 лет, если нарушение повлекло тяжкие последствия;
- Штраф до 500 тысяч рублей по КоАП РФ Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
- Штраф от 10 до 20 тысяч рублей. рублей по КоАП РФ Статья 19.5. ч. 1. Невыполнение предписаний органов власти.
Выводы:
- Программное обеспечение, задействованное на значимых объектах КИИ, необходимо зарегистрировать в реестре российского ПО (Минцифры РФ) в срок до 2025 г.
- Программно-аппаратные комплексы , задействованное на значимых объектах КИИ, необходимо регистрировать в РЭП (Минпромторг РФ).
- За невыполнение этих условий грозит достаточно серьезная ответственность.
Компаниям уже сейчас стоит заняться выявлением значимых объектов КИИ и переходом на отечественные ПО и доверенные ПАК. За дополнительной информацией и помощью можете смело обращаться к нам: @aglegalmessages (телеграмм).
Подписывайтесь на наш канал. Мы отслеживаем новости права для ИТ-компаний, а также пишем большие разборы.