Правительство РФ внесло в Госдуму законопроект, согласно которому кабмин и ЦБ смогут определять перечень объектов критической информационной инфраструктуры (КИИ), которые должны будут обязательно перейти на отечественный софт и оборудование. Авторы документа также предлагают усовершенствовать механизм категорирования объектов КИИ.

Поправки в закон «О безопасности критической информационной инфраструктуры Российской Федерации» подготовило Минцифры России.

Согласно законопроекту, правительство РФ наделяется полномочиями определять по каждой отрасли типы информсистем, которые необходимо будет относить к значимым объектам КИИ с учетом отраслевых особенностей. По таким объектам КИИ кабмин и ЦБ смогут устанавливать порядок и сроки перехода на преимущественное использование российского программного обеспечения и оборудования.

Ранее президент РФ Владимир Путин подписал указ о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры России. Согласно указу, с 1 января 2025 года органам государственной власти и госкомпаниям запрещается использовать иностранное ПО на объектах КИИ.

Таким образом, согласно предлагаемым поправкам, не принадлежащие государству значимые объекты КИИ получат свои сроки импортозамещения. Сроки будут устанавливаться в зависимости от готовности отечественных решений, а сам переход и соблюдение сроков будут контролироваться отраслевыми ведомствами, уточнили в Минцифры России.

Законопроект позволит установить для каждой отрасли уникальный перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным, подчеркнули в Минцифры.

Основная проблема в сфере импортозамещении ПО и оборудования на объектах КИИ заключается либо в отсутствии отечественных аналогов иностранного программного и/или аппаратного обеспечения, либо в недостаточном качестве данных аналогов, а также в сложности и длительности их внедрения, отметил в комментарии для TelecomDaily архитектор ИТ-инфраструктуры практики «Стратегия трансформации» компании «Рексофт Консалтинг» Александр Чёрный.

Законопроект также предусматривает, что правительство РФ будет устанавливать требования к используемым на значимых объектах КИИ компьютерным программам и базам данных, радиоэлектронным продуктам (к телекоммуникационному оборудованию и программно-аппаратным комплексам), в том числе случаи и порядок использования ПО и радиоэлектронной продукции из иностранных государств. В банковской и финансовой сферах это будет согласовываться с ЦБ РФ.

Кроме того, правительство установит порядок проведения мониторинга перехода на российские продукты.

«Проект федерального закона направлен на обеспечение технологической независимости и безопасности критической информационной инфраструктуры РФ в условиях введенных в отношении России санкций и при наличии рисков нарушения работоспособности объектов критической информационной инфраструктуры по причине введения таких санкций», — говорится в пояснительной записке.

К объектам КИИ относятся сети связи, IТ-системы и автоматизированные системы управления технологическими процессами (АСУТП), которые принадлежат субъектам КИИ: госорганам, научным и кредитно-финансовым организациям, а также предприятиям оборонной, металлургической, топливной и атомной промышленности, транспорта, телекома, энергетики, здравоохранения и другим.

В соответствии с требованиями законодательства субъекты КИИ должны присвоить одну из категорий значимости принадлежащим им объектам. Если объект КИИ не соответствует определенным критериям значимости, ему не присваивается ни одна из таких категорий. Сведения о результатах проведенного категорирования направляются каждым субъектом КИИ во ФСТЭК России, которая ведет реестр значимых объектов.

Все ПО и оборудование, используемое на объектах КИИ, должно быть категорировано в соответствии с реальной значимостью — это необходимо для применения адекватных мер защиты инфраструктуры, прокомментировал TelecomDaily генеральный директор АО «ИВК» Григорий Сизоненко. «Но сегодняшняя картина пока не соответствует этой целевой установке. Дело в том, что в соответствии с текущим законодательством организации (субъекты КИИ) сами оценивают критичность компонентов своей IТ-инфраструктуры. Не секрет, что некоторые владельцы КИИ занижают категорию систем и даже не относят их ни к какой категории, чтобы избежать затрат на соблюдение требований по обеспечению безопасности таких систем. Поправки в закон помогут решить эту проблему», — отметил Григорий Сизоненко.

При этом необходимо установить порядок и сроки перехода на преимущественное использование не просто российского, а технологически независимого программного обеспечения и вычислительной техники на основе отечественных процессоров, уверен эксперт. По его словам, такие решения уже существуют и успешно применяются госсектором и коммерческими организациями. Это, прежде всего, операционные системы, которые развиваются на основе независимого репозитория, находящегося на территории РФ и под российской юрисдикцией, и процессоры на архитектуре, интеллектуальная собственность на которые также принадлежит РФ.

Сейчас субъекты КИИ направляют во ФСТЭК информацию о себе в уведомительном порядке, отметил в беседе с TelecomDaily генеральный директор облачного провайдера «НУБЕС» (Nubes) Василий Степаненко. При этом, по его словам, у ФСТЭК достаточно большой круг обязанностей, и эксперты службы чисто физически не могут оценить такое количество объектов КИИ по 13 отраслям. «Унифицированный подход тут тоже неприменим. Очевидно, что критическая информационная инфраструктура медицинских учреждений разительно отличается от КИИ в образовательной сфере, или космической отрасли. Подогнать их под общие мерки не получится», — отмечает эксперт. Правительство же обладает большими ресурсами и способно привлечь отраслевых специалистов для точечного подхода в определении того, какие именно элементы и инфосистемы нужно относить к КИИ в той или иной сфере, добавил Василий Степаненко.

Поправки послужат эффективным стимулом к построению хорошо защищенной, санкционно независимой КИИ, подтолкнут владельцев КИИ и разработчиков к ускоренному созданию и внедрению отечественных программных и аппаратных решений, считает Григорий Сизоненко. В частности, полагает эксперт, изменения в процедуре закупок ПО и оборудования для оснащения значимых объектов КИИ, введение преференций по преимущественному использованию на этих объектах российского ПО и радиоэлектронной продукции позволит отечественным разработчикам получить дополнительные средства для совершенствования своих решений. «Но для того, чтобы владельцы КИИ и разработчики были заинтересованы в достижении поставленной государством цели, было бы правильным одновременно применить и меры экономического стимулирования», — подчеркивает Григорий Сизоненко.

От устойчивого функционирования КИИ напрямую зависит работоспособность платежных систем, услуг связи, транспортной и энергетической систем, ЖКХ, а также других важных сфер, отмечают в Минцифры. «Принятие законопроекта повысит защищенность и устойчивость этой инфраструктуры и откроет новые рынки для отечественных IТ-решений», — завили в ведомстве.

Законопроект в случае принятия вступит в силу с 1 марта 2025 года.

Источник: Telecom Daily