Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Крипто
AI
Маркетплейсы
Образование
Путешествия
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Максофт-системный интегратор
Личный опыт

Запрет иностранных решений в КИИ: как обстоят дела в реальности

Рассмотрим, какие нормативные правовые акты реально регулируют применение иностранных решений в КИИ, какие действуют ограничения и запреты, где всё ещё могут быть использованы альтернативные варианты.

Основные нормативные правовые акты

Законодательное регулирование в сфере импортозамещения начало активно формироваться ещё в 2014 году как ответ на санкции, введённые против Российской Федерации (РФ) по следам хорошо известных всем событий того года. С тех пор было принято немало законов, постановлений, распоряжений, приказов и иных нормативных правовых актов (НПА) об импортозамещении, ранее принятые акты неоднократно изменялись, а счёт статьям и комментариям в отраслевых изданиях, полагаю, уже давно идёт на сотни, если не на тысячи. Однако все устанавливаемые и разъясняемые этими документами запреты не являются предметом данной статьи, хотя если субъект КИИ осуществляет свои закупки для обеспечения государственных и муниципальных нужд, то помимо рассмотренных ниже ограничений ему необходимо учесть и положения Постановления Правительства РФ № 1236 от 16.11.2015 «Об установлении запрета на допуск ПО, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» и всех связанных НПА. Среди НПА, ограничивающих применение иностранных решений и непосредственно относящихся именно к субъектам КИИ, региональный представитель УЦСБ Алексей Комаров выделяет следующие.

НПА с прямыми запретами и ограничениями:

Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»;

Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;

Постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»;

Постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».

НПА с косвенными запретами и ограничениями:

Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»; Приказ ФСТЭК России от 02.06.2020 № 76 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».

Приказы ФСТЭК России № 239 и № 76

Наконец, рассмотрим самые характерные косвенные запреты иностранных решений в действующей системе нормативных правовых актов. Согласно пункту 31 приказа ФСТЭК России № 239, применяемые в ЗО программные и программно-аппаратные средства, в том числе СрЗИ, должны быть обеспечены гарантийной и (или) технической поддержкой. Это требование не так просто выполнить для тех ПО и ПАК, производители которых прекратили деятельность на территории Российской Федерации, но тем не менее опыт (в том числе общения с регулятором) показывает, что гарантийная и техническая поддержка не обязательно должна обеспечиваться именно производителем: вполне возможно обойтись собственными силами, при наличии квалифицированного персонала, либо же воспользоваться услугами сторонних организаций. Стоит отметить, что, в частности, проверенные обновления для широко распространённого ПО ФСТЭК России публикует на своём портале. Понятно, что если нет готовности осуществлять поддержку самостоятельно либо искать надёжного подрядчика, более целесообразно перейти на ПО / ПАК с официальной поддержкой от производителя — отечественного либо продолжающего работать на территории РФ.

Выводы

Все нынешние законодательные требования, как уже действующие, так и вступающие в силу в ближайшие годы, ненавязчиво намекают на то, что в ЗО КИИ проще всего применять отечественные ПО и доверенные ПАК, а средства защиты выбирать из реестра сертифицированных по требованиям ФСТЭК России. Определённое пространство для манёвра у владельцев ЗО КИИ пока ещё остаётся (особенно если они не осуществляют закупок по 223-ФЗ), но представляется целесообразным искать альтернативы только в тех случаях, когда есть существенные технические (как вариант — бюджетные) ограничения.

Стратегия полного либо частичного игнорирования запретов тоже имеет право на жизнь, особенно в условиях, когда за нарушение большинства требований не установлено непосредственной ответственности, но, как и в случае с общими требованиями к КИИ, представляется, что это всё временно. Напомним, что хотя Федеральный закон № 187-ФЗ «О безопасности КИИ» вступил в силу ещё с 01 января 2018 года, ответственность (административная в виде штрафов максимум до 200 тыс. рублей для юрлиц) за нарушение требований в области обеспечения безопасности КИИ РФ и за непредставление сведений, предусмотренных законодательством в этой области, была установлена только три с лишним года спустя Федеральным законом № 141-ФЗ от 26.05.2021 «О внесении изменения в КоАП РФ».

Вполне возможно, что ответственность за нарушение требований Указов Президента РФ № 166 и № 250 и Постановлений Правительства РФ № 1478 и № 1972 может появиться гораздо раньше, чем через три года.

#информационнаябезопасность #кии

Начать дискуссию