Статьи юридической фирмы Zenitlegal

Национализация критической инфраструктуры: переход на отечественные программные и аппаратные решения

2024-05-03 11:27 Правовое сопровождение IT-бизнеса
В 2022-2023 годах в России были приняты несколько значимых нормативных актов, среди которых Указ Президента № 166 и Постановление Правительства № 162. Эти документы обязывают субъектов критической инфраструктуры перейти на использование отечественного программного обеспечения и аппаратных комплексов. Давайте вместе разберемся в деталях и последствиях этих изменений в данной статье.

Что такое критическая инфраструктура?

В рамках Федерального закона "О безопасности КИИ РФ", критическая информационная инфраструктура (КИИ) включает информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ. Проще говоря, это системы, необходимые для выполнения критически важных процессов.

Субъекты КИИ включают государственные органы, учреждения и российские юридические лица или индивидуальные предприниматели, которым принадлежат, арендуют или иным законным образом распоряжаются информационными системами, сетями и системами управления, используемыми в различных отраслях, таких как здравоохранение, наука, транспорт, связь, энергетика и другие.

Если ваша компания действует в сферах топливно-энергетического комплекса, энергетики, горнодобывающей и химической промышленности, здравоохранения, науки, транспорта, связи, финансов, атомной энергии, оборонной, ракетно-космической, металлургической промышленности или обеспечивает взаимодействие этих систем - ваша компания входит в категорию критической инфраструктуры.

Если ваша деятельность соответствует вышеперечисленным отраслям, законодательство о КИИ становится обязательным для вашей компании.

Какие обязанности возлагаются на субъектов КИИ?

  1. Информирование о компьютерных инцидентах: Немедленно сообщать о компьютерных инцидентах Государственному Совету по Охране Критической Информационной Инфраструктуры (ГосСОПКИ).
  2. Сотрудничество с ГосСОПКИ: Предоставлять содействие в расследовании и ликвидации компьютерных инцидентов.
  3. Обеспечение порядка установки и эксплуатации средств защиты: Обеспечивать выполнение порядка, технических условий и сохранность средств, предназначенных для обнаружения и ликвидации компьютерных атак.
  4. Категорирование объектов КИИ: Производить классификацию объектов КИИ и определение их значимости согласно установленным критериям.

Категорирование предполагает присвоение каждому объекту КИИ категории значимости, учитывая возможный социальный, экономический или экологический вред от атаки на него. Критерии для этой классификации определены в специальных документах, включая Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации.

Результаты категорирования направляются в Федеральную Службу по Техническому и Экспортному Контролю (ФСТЭК) для утверждения списка значимых объектов. Значимым объектам КИИ предъявляются дополнительные требования, включая использование российского программного обеспечения и доверенных программно-аппаратных комплексов.

Что подразумевается под российским программным обеспечением?

Российское программное обеспечение (ПО) относится к программам, включенным в Реестр отечественного ПО, также известный как Реестр Минцифры.

В соответствии с методическими рекомендациями по переходу на использование отечественного ПО, российское программное обеспечение включает в себя программы, а также программно-аппаратные комплексы, данные о которых внесены в единый реестр российского ПО.

Важно отметить, что даже если компания-разработчик является российской, ее продукты не считаются российским ПО, пока они не будут включены в Реестр российского ПО.

Что означает термин "доверенный программно-аппаратный комплекс" (ПАК)?

14 ноября было принято Постановление Правительства Российской Федерации от 14.11.2023 № 1912, которое требует, чтобы значимые объекты критической инфраструктуры перешли на использование отечественных программно-аппаратных комплексов (ПАКов).

Какие критерии определяют ПАК как доверенные программно-аппаратные комплексы?

  1. Включение информации о программно-аппаратном комплексе в единый реестр российской радиоэлектронной продукции (РЭП).
  2. Соответствие программного обеспечения, входящего в состав программно-аппаратного комплекса, требованиям, установленным для органов государственной власти и заказчиков, осуществляющих закупки, на значимых объектах критической информационной инфраструктуры Российской Федерации.
  3. Если программно-аппаратный комплекс выполняет функцию защиты информации, он должен соответствовать требованиям, установленным Федеральной службой по техническому и экспортному контролю (ФСТЭК) и (или) Федеральной службой безопасности Российской Федерации (ФСБ), подтвержденным соответствующими сертификатами.

Следовательно, программно-аппаратный комплекс может быть признан доверенным, если:

  • весь его компонентный софт включен в реестр отечественного программного обеспечения;
  • комплекс включен в реестр радиоэлектронной продукции;
  • в случае функции защиты информации, имеются сертификаты соответствия ФСТЭК или ФСБ.

Таким образом, важно регистрировать программное обеспечение как часть ПАКа, а также отдельно в Минцифры, независимо от его назначения.

Что будет, если этого не сделать?

Прокуратура и ФСТЭК имеют право проводить проверки в отношении КИИ. Если компания не выполнит обязанности по категорированию и отправке во ФСТЭК планов перехода на российское ПО и ПАК, ее могут проверить. Хотя ФСТЭК редко проводит проверки в компаниях, прокуратура имеет такую возможность.

Что грозит компаниям в случае выявления правонарушения во время проверки:

  • Уголовная ответственность по статье 274.1 часть 3: лицам, ответственным за безопасность КИИ (чаще всего, это руководители организаций), грозит до 6 лет лишения свободы, а если нарушение привело к серьезным последствиям, до 10 лет;
  • Штраф до 500 тысяч рублей согласно КоАП РФ статья 13.12.1 за нарушение требований безопасности КИИ РФ;
  • Штраф от 10 до 20 тысяч рублей согласно КоАП РФ статья 19.5 часть 1 за невыполнение предписаний органов власти.

Выводы

  1. Программное обеспечение, используемое на значимых объектах КИИ, необходимо зарегистрировать в реестре российского программного обеспечения (Минцифры РФ) к 2025 году.
  2. Программно-аппаратные комплексы, применяемые на значимых объектах КИИ, требуется зарегистрировать в РЭП (Минпромторг РФ).
  3. Несоблюдение указанных условий влечет за собой серьезные последствия.
  4. Компаниям рекомендуется начать процесс идентификации значимых объектов КИИ и перехода на использование отечественного программного обеспечения и доверенных программно-аппаратных комплексов.