Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Деньги
Маркетинг
Сервисы
Карьера
Личный опыт
Крипто
Маркетплейсы
Право
AI
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Zlata Vartanova
Право

Национализация критической инфраструктуры: переход на отечественные программные и аппаратные решения

В 2022-2023 годах в России были приняты несколько значимых нормативных актов, среди которых Указ Президента № 166 и Постановление Правительства № 162. Эти документы обязывают субъектов критической инфраструктуры перейти на использование отечественного программного обеспечения и аппаратных комплексов. Давайте вместе разберемся в деталях и последствиях этих изменений в данной статье.

Что такое критическая инфраструктура?

В рамках Федерального закона «О безопасности КИИ РФ», критическая информационная инфраструктура (КИИ) включает информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ. Проще говоря, это системы, необходимые для выполнения критически важных процессов.

Субъекты КИИ включают государственные органы, учреждения и российские юридические лица или индивидуальные предприниматели, которым принадлежат, арендуют или иным законным образом распоряжаются информационными системами, сетями и системами управления, используемыми в различных отраслях, таких как здравоохранение, наука, транспорт, связь, энергетика и другие.

Если ваша компания действует в сферах топливно-энергетического комплекса, энергетики, горнодобывающей и химической промышленности, здравоохранения, науки, транспорта, связи, финансов, атомной энергии, оборонной, ракетно-космической, металлургической промышленности или обеспечивает взаимодействие этих систем — ваша компания входит в категорию критической инфраструктуры.

Если ваша деятельность соответствует вышеперечисленным отраслям, законодательство о КИИ становится обязательным для вашей компании.

Какие обязанности возлагаются на субъектов КИИ?

  • Информирование о компьютерных инцидентах: Немедленно сообщать о компьютерных инцидентах Государственному Совету по Охране Критической Информационной Инфраструктуры (ГосСОПКИ) .
  • Сотрудничество с ГосСОПКИ: Предоставлять содействие в расследовании и ликвидации компьютерных инцидентов.
  • Обеспечение порядка установки и эксплуатации средств защиты: Обеспечивать выполнение порядка, технических условий и сохранность средств, предназначенных для обнаружения и ликвидации компьютерных атак.
  • Категорирование объектов КИИ: Производить классификацию объектов КИИ и определение их значимости согласно установленным критериям.

Категорирование предполагает присвоение каждому объекту КИИ категории значимости, учитывая возможный социальный, экономический или экологический вред от атаки на него. Критерии для этой классификации определены в специальных документах, включая Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации.

Результаты категорирования направляются в Федеральную Службу по Техническому и Экспортному Контролю (ФСТЭК) для утверждения списка значимых объектов. Значимым объектам КИИ предъявляются дополнительные требования, включая использование российского программного обеспечения и доверенных программно-аппаратных комплексов.

Что подразумевается под российским программным обеспечением?

Российское программное обеспечение (ПО) относится к программам, включенным в Реестр отечественного ПО, также известный как Реестр Минцифры.

В соответствии с методическими рекомендациями по переходу на использование отечественного ПО, российское программное обеспечение включает в себя программы, а также программно-аппаратные комплексы, данные о которых внесены в единый реестр российского ПО.

Важно отметить, что даже если компания-разработчик является российской, ее продукты не считаются российским ПО, пока они не будут включены в Реестр российского ПО.

Что означает термин «доверенный программно-аппаратный комплекс» (ПАК)?

14 ноября было принято Постановление Правительства Российской Федерации от 14.11.2023 № 1912, которое требует, чтобы значимые объекты критической инфраструктуры перешли на использование отечественных программно-аппаратных комплексов (ПАКов) .

Какие критерии определяют ПАК как доверенные программно-аппаратные комплексы?

  • Включение информации о программно-аппаратном комплексе в единый реестр российской радиоэлектронной продукции (РЭП) .
  • Соответствие программного обеспечения, входящего в состав программно-аппаратного комплекса, требованиям, установленным для органов государственной власти и заказчиков, осуществляющих закупки, на значимых объектах критической информационной инфраструктуры Российской Федерации.
  • Если программно-аппаратный комплекс выполняет функцию защиты информации, он должен соответствовать требованиям, установленным Федеральной службой по техническому и экспортному контролю (ФСТЭК) и (или) Федеральной службой безопасности Российской Федерации (ФСБ) , подтвержденным соответствующими сертификатами.

Следовательно, программно-аппаратный комплекс может быть признан доверенным, если:

  • весь его компонентный софт включен в реестр отечественного программного обеспечения;
  • комплекс включен в реестр радиоэлектронной продукции;
  • в случае функции защиты информации, имеются сертификаты соответствия ФСТЭК или ФСБ.

Таким образом, важно регистрировать программное обеспечение как часть ПАКа, а также отдельно в Минцифры, независимо от его назначения.

Что будет, если этого не сделать?

Прокуратура и ФСТЭК имеют право проводить проверки в отношении КИИ. Если компания не выполнит обязанности по категорированию и отправке во ФСТЭК планов перехода на российское ПО и ПАК, ее могут проверить. Хотя ФСТЭК редко проводит проверки в компаниях, прокуратура имеет такую возможность.

Что грозит компаниям в случае выявления правонарушения во время проверки:

  • Уголовная ответственность по статье 274.1 часть 3: лицам, ответственным за безопасность КИИ (чаще всего, это руководители организаций) , грозит до 6 лет лишения свободы, а если нарушение привело к серьезным последствиям, до 10 лет;
  • Штраф до 500 тысяч рублей согласно КоАП РФ статья 13.12.1 за нарушение требований безопасности КИИ РФ;
  • Штраф от 10 до 20 тысяч рублей согласно КоАП РФ статья 19.5 часть 1 за невыполнение предписаний органов власти.

Выводы

  • Программное обеспечение, используемое на значимых объектах КИИ, необходимо зарегистрировать в реестре российского программного обеспечения (Минцифры РФ) к 2025 году.
  • Программно-аппаратные комплексы, применяемые на значимых объектах КИИ, требуется зарегистрировать в РЭП (Минпромторг РФ) .
  • Несоблюдение указанных условий влечет за собой серьезные последствия.
  • Компаниям рекомендуется начать процесс идентификации значимых объектов КИИ и перехода на использование отечественного программного обеспечения и доверенных программно-аппаратных комплексов.
Начать дискуссию