Журнал "Information Security/ Информационная безопасность" #6, 2023

В настоящее время нормативно-пра- вовую базу в части импортозамещения компонентов объектов КИИ составляют: l Указ Президента РФ от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и без- опасности критической информационной инфраструктуры Российской Федера- ции"; l Указ Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопас- ности Российской Федерации"; l Постановление Правительства РФ от 22.08.2022 № 1478 "Об утверждении требований к программному обеспече- нию, в том числе в составе программно- аппаратных комплексов (ПАК), исполь- зуемому органами государственной вла- сти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принад- лежащих им значимых объектах крити- ческой информационной инфраструкту- ры Российской Федерации, Правил согласования закупок иностранного про- граммного обеспечения, в том числе в составе программно-аппаратных ком- плексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдель- ными видами юридических лиц" (за исключением организаций с муници- пальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Рос- сийской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование рос- сийского программного обеспечения, в том числе в составе программно-аппа- ратных комплексов, заказчиками, осу- ществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением орга- низаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфра- структуры Российской Федерации; l постановление Правительства РФ от 14.11.2023 № 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение дове- ренных программно-аппаратных комплек- сов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" (вместе с Правилами перехода субъектов критической информационной инфра- структуры Российской Федерации на пре- имущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфра- структуры Российской Федерации); l приказ Министерства цифрового раз- вития, связи и массовых коммуникаций РФ от 18.01.2023 № 21 "Об утверждении Методических рекомендаций по пере- ходу на использование российского про- граммного обеспечения, в том числе на значимых объектах критической инфор- мационной инфраструктуры Российской Федерации, и о реализации мер, направ- ленных на ускоренный переход органов государственной власти и организаций на использование российского про- граммного обеспечения в Российской Федерации"; l приказ Минпромторга России от 06.03.2023 № 722 "Об утверждении отраслевого плана мероприятий по обес- печению готовности заказчиков, осу- ществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), к преиму- щественному использованию россий- ского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической инфор- мационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлур- гической, ракетно-космической, оборон- ной, химической промышленности и использования атомной энергии". Следует отметить, что часть отрасле- вых "планов перехода" имеет ограни- ченный характер (ограничительную пометку) и отсутствует в открытых источ- никах. Оба указа президента РФ устанавли- вают запреты с 1 января 2025 г. Указ Президента РФ от 30 марта 2022 г. № 166 запрещает использовать ино- странное ПО, в том числе в составе ПАК на значимых объектах КИИ (ЗОКИИ), а Указ Президента РФ от 1 мая 2022 г. № 250 запрещает использовать средства защиты информации, странами про- исхождения которых являются иностран- ные государства, совершающие в отно- шении РФ недружественные действия, либо производителями которых являются организации, находящиеся под контро- лем таких иностранных государств. Процедуры, связанные с переходом на российское ПО, установлены в трех документах, утвержденных постановле- нием Правительства РФ от 22.08.2022 № 1478. Требования к ПО, используемому на ЗОКИИ Данные требования устанавливают, что ПО, предназначенное для обеспече- ния безопасности ЗОКИИ, а также ПО, предназначенное для обнаружения, предупреждения и ликвидации послед- ствий компьютерных атак и реагирова- ния на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах, должно: l быть включено в реестр российских программ или программ государств – членов Евразийского экономического союза; l соответствовать требованиям, уста- новленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответ- ствующим документом (сертификатом). 52 • СПЕЦПРОЕКТ Проблемы импортозамещения компонентов объектов КИИ Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности ноябре текущего года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ. В