В 2022-2023 годах в России были приняты несколько значимых нормативных актов, среди которых Указ Президента № 166 и Постановление Правительства № 162. Эти документы обязывают субъектов критической инфраструктуры перейти на использование отечественного программного обеспечения и аппаратных комплексов. Давайте вместе разберемся в деталях и последствиях этих изменений в данной статье.
Что такое критическая инфраструктура?
В рамках Федерального закона "О безопасности КИИ РФ", критическая информационная инфраструктура (КИИ) включает информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ. Проще говоря, это системы, необходимые для выполнения критически важных процессов.
Субъекты КИИ включают государственные органы, учреждения и российские юридические лица или индивидуальные предприниматели, которым принадлежат, арендуют или иным законным образом распоряжаются информационными системами, сетями и системами управления, используемыми в различных отраслях, таких как здравоохранение, наука, транспорт, связь, энергетика и другие.
Если ваша компания действует в сферах топливно-энергетического комплекса, энергетики, горнодобывающей и химической промышленности, здравоохранения, науки, транспорта, связи, финансов, атомной энергии, оборонной, ракетно-космической, металлургической промышленности или обеспечивает взаимодействие этих систем - ваша компания входит в категорию критической инфраструктуры.
Если ваша деятельность соответствует вышеперечисленным отраслям, законодательство о КИИ становится обязательным для вашей компании.
Какие обязанности возлагаются на субъектов КИИ?
Информирование о компьютерных инцидентах: Немедленно сообщать о компьютерных инцидентах Государственному Совету по Охране Критической Информационной Инфраструктуры (ГосСОПКИ).
Сотрудничество с ГосСОПКИ: Предоставлять содействие в расследовании и ликвидации компьютерных инцидентов.
Обеспечение порядка установки и эксплуатации средств защиты: Обеспечивать выполнение порядка, технических условий и сохранность средств, предназначенных для обнаружения и ликвидации компьютерных атак.
Категорирование объектов КИИ: Производить классификацию объектов КИИ и определение их значимости согласно установленным критериям.
Категорирование предполагает присвоение каждому объекту КИИ категории значимости, учитывая возможный социальный, экономический или экологический вред от атаки на него. Критерии для этой классификации определены в специальных документах, включая Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации.
Результаты категорирования направляются в Федеральную Службу по Техническому и Экспортному Контролю (ФСТЭК) для утверждения списка значимых объектов. Значимым объектам КИИ предъявляются дополнительные требования, включая использование российского программного обеспечения и доверенных программно-аппаратных комплексов.
Что подразумевается под российским программным обеспечением?
Российское программное обеспечение (ПО) относится к программам, включенным в Реестр отечественного ПО, также известный как Реестр Минцифры.
В соответствии с методическими рекомендациями по переходу на использование отечественного ПО, российское программное обеспечение включает в себя программы, а также программно-аппаратные комплексы, данные о которых внесены в единый реестр российского ПО.
Важно отметить, что даже если компания-разработчик является российской, ее продукты не считаются российским ПО, пока они не будут включены в Реестр российского ПО.
Что означает термин "доверенный программно-аппаратный комплекс" (ПАК)?
14 ноября было принято Постановление Правительства Российской Федерации от 14.11.2023 № 1912, которое требует, чтобы значимые объекты критической инфраструктуры перешли на использование отечественных программно-аппаратных комплексов (ПАКов).
Какие критерии определяют ПАК как доверенные программно-аппаратные комплексы?
Включение информации о программно-аппаратном комплексе в единый реестр российской радиоэлектронной продукции (РЭП).
Соответствие программного обеспечения, входящего в состав программно-аппаратного комплекса, требованиям, установленным для органов государственной власти и заказчиков, осуществляющих закупки, на значимых объектах критической информационной инфраструктуры Российской Федерации.
Если программно-аппаратный комплекс выполняет функцию защиты информации, он должен соответствовать требованиям, установленным Федеральной службой по техническому и экспортному контролю (ФСТЭК) и (или) Федеральной службой безопасности Российской Федерации (ФСБ), подтвержденным соответствующими сертификатами.
Следовательно, программно-аппаратный комплекс может быть признан доверенным, если:
весь его компонентный софт включен в реестр отечественного программного обеспечения;
комплекс включен в реестр радиоэлектронной продукции;
в случае функции защиты информации, имеются сертификаты соответствия ФСТЭК или ФСБ.
Таким образом, важно регистрировать программное обеспечение как часть ПАКа, а также отдельно в Минцифры, независимо от его назначения.
Что будет, если этого не сделать?
Прокуратура и ФСТЭК имеют право проводить проверки в отношении КИИ. Если компания не выполнит обязанности по категорированию и отправке во ФСТЭК планов перехода на российское ПО и ПАК, ее могут проверить. Хотя ФСТЭК редко проводит проверки в компаниях, прокуратура имеет такую возможность.
Что грозит компаниям в случае выявления правонарушения во время проверки:
Уголовная ответственность по статье 274.1 часть 3: лицам, ответственным за безопасность КИИ (чаще всего, это руководители организаций), грозит до 6 лет лишения свободы, а если нарушение привело к серьезным последствиям, до 10 лет;
Штраф до 500 тысяч рублей согласно КоАП РФ статья 13.12.1 за нарушение требований безопасности КИИ РФ;
Штраф от 10 до 20 тысяч рублей согласно КоАП РФ статья 19.5 часть 1 за невыполнение предписаний органов власти.
Выводы
Программное обеспечение, используемое на значимых объектах КИИ, необходимо зарегистрировать в реестре российского программного обеспечения (Минцифры РФ) к 2025 году.
Программно-аппаратные комплексы, применяемые на значимых объектах КИИ, требуется зарегистрировать в РЭП (Минпромторг РФ).
Несоблюдение указанных условий влечет за собой серьезные последствия.
Компаниям рекомендуется начать процесс идентификации значимых объектов КИИ и перехода на использование отечественного программного обеспечения и доверенных программно-аппаратных комплексов.