Журнал "Information Security/ Информационная безопасность" #6, 2023

Использование в конструкции данной правовой нормы словосочетания "соот- ветствующим документом (сертифика- том)" применено в целях закрепления обязанности использовать для обеспече- ния безопасности ЗОКИИ только серти- фицированные наложенные средства защиты информации (в том числе про- граммно-аппаратные) и возможности подтверждения соответствия требова- ниям по безопасности 1 средств защиты информации встроенных в ПО ЗОКИИ в рамках испытаний/приемки вновь соз- даваемых объектов. Правила перехода на преимущественное использование российского программного обеспечения В соответствии с данными правилами субъекту КИИ необходимо: l разработать план перехода на исполь- зование российского ПО в соответствии с приказом Министерства цифрового развития, связи и массовых коммуника- ций РФ от 18.01.2023 № 21 и отраслевым планом мероприятий по обеспечению готовности к преимущественному использованию российского ПО; l утвердить план и направить его в Минцифры России (нормативно – в срок до 18 марта 2023 г.); l при подготовке раздела 2 плана пере- хода использовать отраслевой план мероприятий по обеспечению готовности к преимущественному использованию российского ПО, полученный от отрас- левого регулятора. Правила согласования закупок иностранного программного обеспечения Документ устанавливает порядок согласования закупок иностранного ПО субъектами КИИ, владеющими ЗОКИИ. Для согласования субъект КИИ подает заявку в уполномоченный орган или Центральный Банк РФ (для финансовых организаций). Уполномоченными орга- нами являются: l Министерство здравоохранения РФ; l Министерство науки и высшего обра- зования РФ; l Министерство транспорта РФ; l Министерство цифрового развития, связи и массовых коммуникаций РФ; l Министерство энергетики РФ; l Министерство промышленности и тор- говли РФ. В заявке указываются: наименование ПО, обоснование невозможности исполь- зования российского ПО на ЗОКИИ, сертификаты соответствия, предмет и стоимость договора, сведения о месте поставки и др. Уполномоченный орган или Централь- ный Банк РФ рассматривает заявку и принимает решение о согласовании или отказе. Заявки с ценой от 100 млн руб. рас- сматривает специальная комиссия. Основания для отказа: недостоверность сведений, несоответствие установленно- му порядку, риски безопасности. Решение о согласовании действует для конкретной закупки согласно заявке. Субъект КИИ может обжаловать отказ. Для обеспечения использования на ЗОКИИ отечественного ПО, по моему мнению, рекомендуется: l новые объекты КИИ проектировать и создавать с использованием только рос- сийского ПО (в том числе в составе ПАК); l создать в субъекте КИИ "проектную группу", обеспечивающую управление процессами перехода организации на использование российского ПО на ЗОКИИ, мониторинг хода реализации плана перехода и достижения установ- ленных показателей эффективности. Постановление Правительства РФ № 1912 Постановление Правительства РФ от 14.11.2023 № 1912 утверждает правила перехода субъектов КИИ на преимуще- ственное применение доверенных ПАК на принадлежащих им ЗОКИИ. С учетом того, что на сегодняшний день это новый нормативно-правовой акт, следует оста- новиться на более подробной характери- стике установленных в нем требований. Во-первых, в постановлении четко прописано, что такое доверенные ПАК и как определить момент завершения переход на доверенные ПАК. Доверенный ПАК – тот, который соот- ветствует одновременно трем крите- риям: 1. Сведения о ПАК содержатся в еди- ном реестре российской радиоэлектрон- ной продукции. 2. ПО, используемое в составе ПАК, соответствует требованиям, утвержден- ным постановлением Правительства РФ от 22.09.2022 № 1478. 3. ПАК, в случае реализации в нем функций защиты информации, соответ- ствует требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документов (сертификатом). ПАК – радиоэлектронная продукция, в том числе телекоммуникационное обору- дование, программное обеспечение и технические средства, работающие совместно для выполнения одной или нескольких сходных задач. По сути, это означает, что все коммутаторы, маршру- тизаторы и т.п., используемые в составе ЗОКИИ, должны быть заменены на оте- чественные. Ранее телекоммуникацион- ное оборудование "выпало" из действия постановления Правительства РФ от 22.08.2022 № 1478 (так как в данном слу- чае ПО неотделимо от компонентной базы), поэтому многие субъекты КИИ не планировали замену телекоммуникацион- ного оборудования, за исключением меж- сетевых экранов, являющихся средствами защиты. Данное же постановление пред- писывает необходимость такой замены. Переход субъектов КИИ на преиму- щественное применение доверенных ПАК на ЗОКИИ осуществляется до 1 января 2030 г. Во-вторых, с 1 сентября 2024 г. не допускается использование субъектами КИИ на ЗОКИИ ПАК, приобретенных с 1 сентября 2024 г. и не являющихся доверенными ПАК, за исключением слу- чаев отсутствия произведенных в РФ доверенных ПАК, являющихся аналога- ми приобретенных субъектами КИИ ПАК. Иными словами, с 1 сентября 2024 г. проектирование и создание новых ЗОКИИ должно осуществляться только на базе доверенных ПАК. В-третьих, алгоритм перехода на пре- имущественное применение доверенных ПАК, по сути, аналогичен алгоритму перехода на российское ПО: Шаг 1. Провести инвентаризацию используемых на ЗОКИИ ПАК и дождать- ся от уполномоченного органа отрасле- вого плана перехода. Срок разработки и утверждение уполномоченными орга- нами планов организации перехода уста- новлен до 1 сентября 2024 г. К уполномоченным органам, помимо уже названных, добавились: l Министерство финансов РФ – в бан- ковской сфере и иных сферах финансо- вого рынка (за исключением кредитных организаций и некредитных финансовых организаций); l Федеральная служба государственной регистрации, кадастра и картографии – в сфере государственной регистрации прав на недвижимое имущество и сделок с ним; l Госкорпорация "Росатом" – в области атомной энергии; l Госкорпорация "Роскосмос" – в обла- сти ракетно-космической промышлен- ности. Шаг 2. Разработать и утвердить "свой" план перехода на преимущественное применение доверенных ПАК в срок до 01.01.2025. Шаг 3. Осуществить переход на пре- имущественное применение доверенных ПАК в соответствии с планом в срок до 01.01.2030. Таким образом, основные контрольные сроки для субъекта КИИ: 01.09.2024, 01.01.2025, 01.01.2030. Кроме того, необходимо учитывать, что субъектам КИИ необходимо ежегодно представлять отчет о реализации планов перехода. l • 53 Защита ОКии и КОмплаенс www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 Установлены приказом ФСТЭК России от 25.12.2017 № 239 “Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".