Журнал "Information Security/ Информационная безопасность" #3, 2022

С 1 января 2025 г. субъ- ектам КИИ нельзя будет использовать средства защиты информации из зарубежных государств, вхо- дящих в список недруже- ственных. Вопрос применения тех или иных средств защиты информации связан не толь- ко с импортозамещением, но и с оценкой соответствия средств защиты информа- ции. Категорирование вновь создаваемых объектов КИИ Несмотря на то что пред- усмотрены отдельные нормы, посвященные категорированию вновь создаваемых объектов, в Правилах категорирования объ- ектов КИИ, утвержденных постановлением Правительства РФ № 127 от 08.02.2018 г., тем не менее не все так однознач- но. Перед специалистами субъ- екта КИИ на практике встают следующие вопросы: 1. Как быть с объектами КИИ, создаваемыми длительное время, технические требования к которым утверждены до апре- ля 2019 г.? 2. Что делать в случае, если уже существующий объект начал участвовать в автомати- зации критического процесса? 3. При каких условиях осу- ществлять пересмотр категории значимости? И т.п. Подробнее ответы на эти вопросы были рассмотрены автором в одной из статей жур- нала "Information Security/ Информационная безопас- ность", № 2, 2021 г. Масштабирование системы безопасности значимых объектов КИИ На практике проблема обыч- но заключается в том, что не всегда возможно обеспечить защиту вновь создаваемого объекта КИИ или модернизи- руемого объекта, в случае изменения его архитектуры, аппаратно-программными сред- ствами ранее созданной СБ ЗОКИИ. Часть этих средств будет несовместима с новыми архитектурными и/или про- граммно-аппаратными реше- ниями. В целом решение дан- ной проблемы заключается в том, чтобы на этапе создания грамотно спроек тироват ь необходимые решения и интег- рацию с существующей СБ ЗОКИИ, а в случае невозмож- ности интеграции с существую- щими подсистемами безопас- ности предусмотреть в рамках вновь создаваемых или модер- низируемых ЗОКИИ новые под- системы безопасности. Кроме того, совсем недавно появилась и такая проблема: не все средства защиты, вхо- дящие в состав созданных СБ ЗОКИИ, можно будет применять в будущем. И здесь мы плавно переходим к следующему вопросу. Импортозамещение аппаратной части и программного обеспечения Тема импортозамещения достаточно стара, автор уже касался ее на страницах данного журнала 1 , однако весной 2022 г. в данной сфере произошли достаточно серьезные измене- ния, связанные с ускорением импортозамещения в части объ- ектов КИИ. Так, было издано два указа президента РФ. 1. Указ Президента РФ№ 166 от 30.03.2022 г. "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации". 2. Указ Президента РФ№ 250 от 01.05.2022 г. "О дополни- тельных мерах по обеспечению информационной безопасности Российской Федерации". Что важного для субъекта КИИ содержат данные указы? В соответствии с ними с 1 янва- ря 2025 г.: 1. Органам государственной власти и компаниям с госуча- стием 2 запрещается использо- вать иностранное программное обеспечение на принадлежащих им значимых объектах КИИ. Иными словами, органы и орга- низации, попавшие в указанную категорию, – а это большое количество крупных субъектов КИИ – должны до 1 января 2025 г. полностью импортоза- местить программную часть своих значимых объектов КИИ. Причем исключительно россий- ским программным обеспече- нием, никакое иностранное ПО, в том числе из "дружественных" стран, не допускается. 10 • В ФОКУСЕ Актуальные вопросы построения защиты объектов КИИ момента вступления в силу Федерального закона “О безопасности критической информационной инфраструктуры” прошло уже более четырех лет, и все субъекты критической информационной инфраструктуры уже создали или, как минимум, должны были создать системы безопасности своих значимых объектов КИИ. Однако жизнь не стоит на месте, появляются новые объекты КИИ и новые вопросы, связанные с построением и совершенствованием системы их защиты. Кроме того, весной 2022 г. появились новые нормативно-правовые акты, так или иначе оказывающие влияние на защиту объектов КИИ. С Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности 1 Саматов К.М. Проблемы импортозамещения объектов КИИ // Information Security/Информационная безопасность. 2021. № 6. С. 16–17. 2 Подробнее о критериях отнесения к данной категории см. ст. 1 ч. 2 Федерального закона № 223-ФЗ от 18.07.2011 г. “О закупках товаров, работ, услуг отдельными видами юридических лиц”.