Rambler's Top100
 
Статьи ИКС № 2 2022
Николай НОСОВ  05 апреля 2022

ПО для КИИ – рубим с плеча

С 31 марта 2022 г. госкомпаниям запрещено покупать иностранное ПО для значимых объектов КИИ без согласования с регулятором. Указ вышел, но вопросы остались.

Сегодня: «Не купи!»

Сложная и быстро меняющая геополитическая обстановка требует принятия срочных мер. 30 марта 2022 г. вышел Указ Президента № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», согласно которому уже со следующего дня организациям, осуществляющим закупки в соответствии с законом № 223-ФЗ, запрещено покупать иностранное ПО, в том числе в составе программно-аппаратных комплексов, для использования на значимых объектах критической информационной инфраструктуры (ЗОКИИ) без согласования с уполномоченным ведомством. 

Действие закона № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» распространяется на организации, в уставном капитале которых доля участия государства превышает 50%. Среди них:
  • государственные компании и корпорации;
  • публично-правовые компании;
  • субъекты естественных монополий;
  • организации, осуществляющие регулируемые виды деятельности в сфере электроснабжения, газоснабжения, теплоснабжения, водоснабжения, водоотведения, очистки сточных вод, обращения с твердыми коммунальными отходами;
  • автономные учреждения, хозяйственные общества. 
В эту же категорию входят дочерние компании перечисленных организаций, если доля материнских компаний в их уставном капитале превышает 50%, а также в ряде случаев – бюджетные учреждения и государственные унитарные предприятия. 

«Указ – жесткий и неожиданный в плане сроков реализации. Предприятия с госучастием давно делают крупные закупки в рамках закона № 223-ФЗ. Теперь они не смогут покупать иностранное ПО и программно-аппаратные комплексы для применения в значимых объектах КИИ без согласования с исполнительным органом государственной власти, уполномоченным Правительством РФ. Для ПО – это Минцифры России, для программно-аппаратных комплексов – Минпромторг России. Учитывая общую обстановку, согласование, скорее всего, будет сложным, разрешение будут давать только в случае крайней необходимости», – дал комментарий нашему изданию член правления Ассоциации руководителей служб информационной безопасности Константин Саматов.

Стоит обратить внимание на то, что указом № 166 с 31 марта 2022 г. ограничения на покупку иностранного ПО вводятся только для «заказчиков (за исключением организаций с муниципальным участием), осуществляющих закупки в соответствии с Федеральным законом от 18.07.2011 № 223-ФЗ», и только для использования на ЗОКИИ. А с 1 января 2025 г. иностранное ПО на этих объектах запрещается использовать и заказчикам, и органам государственной власти.

Какое ПО – «иностранное»?

Много вопросов вызывает сам термин «иностранное программное обеспечение». Его нет в законодательстве. Есть отечественное ПО, есть ПО, созданное в государствах – членах ЕАЭС, и есть ПО, разработанное в иностранных государствах, которые не входят в ЕАЭС. 

В текущей формулировке неясно, можно ли покупать и использовать программное обеспечение из стран ЕАЭС, например из Беларуси. Непонятно, что делать госзаказчикам, если нельзя покупать программно-аппаратные комплексы из Азии, прежде всего из Китая. Именно ПАК азиатского соседа, например СХД и сетевое оборудование, рассматривались многими экспертами как альтернатива  продуктам ушедших с рынка западных вендоров. Попадать в другую зависимость не стоит, надо искать баланс. Но вводить запрет так резко – решение неоднозначное. 

Успехи в импортозамещении есть, но ждать, пока появится достаточное количество удовлетворяющих требованиям бизнеса отечественных продуктов, нельзя – поддерживать функционирование ЗОКИИ нужно уже сейчас.

«С формальной точки зрения иностранное ПО – это любое, произведенное не в России и даже не в союзном государстве. Да, неформально для белорусского ПО, ПО из стран СНГ или даже Китая у нас были преференции. Но юридически оно тоже подпадает под запрет. Возможно, для него будут делать исключения на уровне постановлений правительства», – предполагает бизнес-консультант по безопасности Cisco Алексей Лукацкий.

Завтра: «Не используй!»

Не все понятно и с запретом использования на ЗОКИИ иностранного ПО с 1 января 2025 г. Подпадают ли под него программные настройки зарубежного оборудования, например, сетевых устройств? Если да, значит, иностранным, но вполне работоспособным «железом» пользоваться уже не получится. Подпадает ли под него иностранная микропрограмма, записанная на интегральной микросхеме ПЗУ и управляющая работой аппаратного обеспечения? Если да, то придется менять даже принтеры.

Атаки на уровне прошивки контроллера уже стали  реальностью. Но нельзя заменить все и сразу. Надо выбирать направления, исходя из имеющихся ресурсов, величины ущерба от реализации угроз и вероятности наступления таких событий.

Ясность дадут документы, разрабатываемые Правительством РФ. В течение месяца, согласно указу президента, должны быть утверждены  требования к используемому на ЗОКИИ программному обеспечению и правила согласования закупок иностранного ПО, в течение полугода – реализованы меры по обеспечению преимущественного использования на этих объектах отечественной радиоэлектроники и телеком-оборудования.

История импортозамещения КИИ

Снижением зависимости от иностранного программного обеспечения государство озаботилось еще семь лет назад, после начала «войны санкций». 1 апреля 2015 г. Минкомсвязь России выпустила указ № 96, утверждающий план импортозамещения ПО. 

В июле 2017 г. был принят Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», в котором определяются отрасли, обладающие наиболее важной информацией, объекты, образующие критическую информационную инфраструктуру государства, и дается определение ЗОКИИ.

Языком закона

Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

После вступления закона в силу субъекты КИИ стали выявлять объекты КИИ, проводить их категорирование – составлять реестр ЗОКИИ – и принимать меры по их защите. Один из этапов создания систем обеспечения безопасности – построение модели угроз, среди которых и риски, связанные с использованием зарубежного ПО. 

В мае 2020 г. были опубликованы проекты указа президента и постановления правительства, обязывающие все субъекты КИИ перейти на отечественное ПО и оборудование. Доработанные проекты были опубликованы в октябре 2020 г. и феврале 2021 г., но так и не были приняты, во многом из-за замечаний Минэкономразвития России.

Новый указ президента учитывает замечания Минэкономразвития – распространяется не на все объекты КИИ, а только на ЗОКИИ, и касается только субъектов КИИ, выступающих заказчиками в закупках согласно закону № 223-ФЗ. Впрочем, их тоже немало. Среди них такие крупные компании с государственным участием, как «Газпром», «Роснефть», «Роскосмос», «Ростех», «Роснано», РЖД. 

«Об импортозамещении говорят уже много лет, а воз и ныне там. Видимо, кто-то решил, что хватит давать поблажки, и рубанул с плеча, не до конца осознав все последствия такого решения. Посмотрим, что из этого получится и смогут ли госкомпании, госорганы и иные компании с участием государства перейти на отечественное ПО и “железо”. Я думаю, всем интересно посмотреть, получится это или нет», – дал комментарий нашему изданию А. Лукацкий.

Главное не выплеснуть с водой ребенка – переоценив риски, не поставить под угрозу надежное функционирование ЗОКИИ. Обсуждение сообществом позволит доработать документы. Ведь в бесперебойной работе критической информационной инфраструктуры заинтересованы все.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!