Власти продолжат дорабатывать законы для критической инфраструктуры
С 1 сентября объекты критической инфраструктуры (к ним относятся сети связи и информационные системы госорганов, энергетических, финансовых, транспортных, медицинских и ряда других копаний) обязаны использовать только софт, включенный в реестр отечественного. Такое требование предусмотрено вступившими в силу поправками в закон «О безопасности критической информационной инфраструктуры» (КИИ).
Но, как сообщили РБК в Минцифры, Банке России, Минэнерго и Минтрансе, пока для компаний из отраслей, которые курируют перечисленные организации, с 1 сентября ничего не поменялось.
Как пояснил представитель Минцифры, сроки перехода на российский софт будут определены отдельным документом правительства. «По актуальному плану-графику соответствующий подзаконный акт должен быть принят не позднее 1 апреля 2026 года. В настоящий момент этот и другие документы готовятся министерством и в установленные сроки будут опубликованы для общественного обсуждения», — сказал он.
Представитель Минцифры также пояснил, что министерство продолжает работу над особенностями категорирования объектов в отрасли связи. Список типовых отраслевых объектов КИИ, по его словам, разрабатывает ФСТЭК, куда министерство отправило перечень, предварительно согласованный с участниками рынка. Всего в список вошло более десяти объектов.
Представитель ЦБ также сообщил, что список типовых объектов КИИ для финансовой отрасли, особенности их отнесения к определенной категории значимости, порядок и срок перехода на отечественное ПО и программно-аппаратные средства, а также порядок мониторинга выполнения этих требований сейчас разрабатывает правительство при участии ЦБ. «С финансовыми организациями, которые имеют значимые объекты КИИ, Банк России провел предварительную работу по подготовке проектов планов мероприятий по переходу на отечественные решения. Планы будут уточнены и утверждены после установления сроков перехода», — отметил он.
Представитель Минэнерго рассказал, что компании из сферы энергетики и топливно-энергетического комплекса еще до принятия поправок «последовательно начали работу по импортозамещению программного обеспечения и программно-аппаратных комплексов». «Люди на местах ответственно и профессионально относятся к вопросам информационной безопасности. При этом с вступлением в силу новых требований на них будут возложены те же обязанности, что и на компании других отраслей», — сказал он. По словам представителя этого министерства, проект постановления правительства с перечнем типовых объектов КИИ для энергетики и топливно-энергетического комплекса сейчас проходит согласование. Особенности категорирования этих объектов будут описаны в отдельном документе. Он напомнил, что уже сейчас госорганы и госкомпании не могут использовать иностранный софт на значимых объектах КИИ. Кроме того, они должны перейти на стопроцентное применение доверенных программно-аппаратных комплексов до 1 января 2030 года.
В пресс-службе Минтранса заявили, что они также ведут работу над утверждением перечня типовых объектов КИИ и особенностей их категорирования. «Переход на отечественное программное обеспечение и оборудование [в госорганах и госкомпаниях] ведется в соответствии с постановлением правительства от 14 ноября 2023 года. Данная работа должна быть поэтапно завершена до 1 января 2030 года», — дополнил он.
РБК направил запрос в Минздрав.
Как поменялись требования
Закон о КИИ был принят в 2017 году, он устанавливает понятие КИИ как системы, работа которой важна для безопасности и жизнедеятельности страны и населения, обязывает компании, которые являются владельцами КИИ, определять, какие системы относить к критическим, и выполнять требования безопасности: информировать госорганы об инцидентах, внедрять технические меры защиты информации и др.
До сих пор каждый владелец КИИ самостоятельно присваивал своим объектам категорию значимости. Категории ранжируются по потенциальному ущербу (самая высокая — первая). При присвоении категории владельцы КИИ должны были исходить из возможного ущерба, который будет причинен жизни или здоровью людей при атаке на этот объект, времени отсутствия доступа к госуслуге и др. Также оценивалась политическая, экономическая, экологическая значимость угрозы для обеспечения обороны страны, безопасности и правопорядка.
Согласно вступившим с сентября поправкам, обязанность по категорированию объектов КИИ перешла от участников рынка к государству: правительство получило право определять, что относится к типовым отраслевым объектам по согласованию с ФСБ и ЦБ (для финансовых организаций). Также правительство должно определить особенности отнесения этих объектов к той или категории значимости; порядок и срок перехода на них на отечественный софт и IT-оборудование; то, как будут проверять выполнение этих требований. Кроме требования использовать софт из реестра Минцифры, владельцы КИИ должны будут непрерывно взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в порядке, который установит ФСБ. Кроме того, они должны обеспечить установку на значимых объектах средств для обнаружения, предупреждения и ликвидации последствий компьютерных атак, в том числе для поиска признаков таких атак.
Весной, выступая на заседании Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» глава Минцифры Максут Шадаев говорил, что эти поправки должны заставить переходить на отечественный софт и оборудование не только госструктуры, но и частные компании. Тогда же он упоминал, что, после того как правительство утвердит для каждой отрасли перечень значимых объектов, на следующем этапе планируется ввести ответственность за невыполнение требования по переходу на отечественный софт. При этом Шадаев отмечал, что из анализа опыта перехода госструктур на российское программное обеспечение власти сделали вывод, что большинство старалось избегать присвоения своим объектам первой категории.
Читайте РБК в Telegram
