За последние несколько лет в законодательстве, регулирующем объекты критической информационной инфраструктуры (КИИ), произошли существенные изменения. Теперь государство обязывает владельцев объектов КИИ переводить их на российское ПО и программно-аппаратные комплексы (ПАК).
Как осуществить подобный переход? Какие требования есть к субъектам КИИ? Предусмотрены ли какие-либо наказания в случае их неисполнения? И что вообще скрывается за понятиями “критическая информационная инфраструктура”, “российское ПО” и “доверенный программно-аппаратный комплекс”? Обо всем этом мы расскажем в нашем специальном гайде.
Как осуществить подобный переход? Какие требования есть к субъектам КИИ? Предусмотрены ли какие-либо наказания в случае их неисполнения? И что вообще скрывается за понятиями “критическая информационная инфраструктура”, “российское ПО” и “доверенный программно-аппаратный комплекс”? Обо всем этом мы расскажем в нашем специальном гайде.
Содержание:
- Что такое критическая информационная инфраструктура (КИИ)?
- Обязанности субъектов КИИ
- Что такое российское ПО и доверенный ПАК?
- Сроки перехода
- Риски
- Выводы
- Список НПА, регулирующих КИИ
Что такое критическая информационная инфраструктура (КИИ)?
Прежде всего давайте разберемся, относится ли ваша компания к КИИ и что это такое.
Согласно ст. 2 ФЗ «О безопасности КИИ РФ», объектами КИИ могут выступать:
Каждый из представленных элементов играет критически важную роль в обеспечении различных процессов, касающихся государства, экономики, социальной и даже экологической сфер. Поэтому повреждение объектов КИИ может привести к серьезным последствиям для общества. Критерии определения степени вреда приведены в Перечне показателей критериев значимости объектов КИИ (Постановление Правительства №162).
Субъектами КИИ могут выступать государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которые владеют объектами КИИ на праве собственности, аренды или на ином законном основании. Осуществлять свою деятельность они могут в сферах:
Кроме того, к субъектам КИИ относятся российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Они могут это делать, например, путем продажи лицензий для компаний из указанных областей, хостинга, оказания услуг операторов связи и т.д.
Если ваша компания относится к какой-либо из указанных сфер и работает с объектами, помогающими в выполнении критических процессов, то вы выступаете в роли субъекта КИИ. Это означает, что ваша деятельность подпадает под законодательство, регулирующее КИИ, и должна соответствовать определенным требованиям. Что же это за требования?
Согласно ст. 2 ФЗ «О безопасности КИИ РФ», объектами КИИ могут выступать:
- информационные системы;
- информационно-телекоммуникационные сети;
- автоматизированные системы управления субъектов КИИ.
Каждый из представленных элементов играет критически важную роль в обеспечении различных процессов, касающихся государства, экономики, социальной и даже экологической сфер. Поэтому повреждение объектов КИИ может привести к серьезным последствиям для общества. Критерии определения степени вреда приведены в Перечне показателей критериев значимости объектов КИИ (Постановление Правительства №162).
Субъектами КИИ могут выступать государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которые владеют объектами КИИ на праве собственности, аренды или на ином законном основании. Осуществлять свою деятельность они могут в сферах:
- топливно-энергетического комплекса;
- энергетики;
- горнодобывающей промышленности;
- химической промышленности;
- здравоохранения;
- науки;
- транспорта;
- связи;
- государственной регистрации прав на недвижимое имущество и сделок с ним;
- банковской сфере и иных сферах финансового рынка;
- атомной энергии;
- оборонной, ракетно-космической, металлургической промышленности.
Кроме того, к субъектам КИИ относятся российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. Они могут это делать, например, путем продажи лицензий для компаний из указанных областей, хостинга, оказания услуг операторов связи и т.д.
Если ваша компания относится к какой-либо из указанных сфер и работает с объектами, помогающими в выполнении критических процессов, то вы выступаете в роли субъекта КИИ. Это означает, что ваша деятельность подпадает под законодательство, регулирующее КИИ, и должна соответствовать определенным требованиям. Что же это за требования?
Обязанности субъектов КИИ
Субъекты КИИ обязаны:
В качестве одного из важных требований также выступает категорирование объектов КИИ, т.е. присваивание всем объектам КИИ, принадлежащим компании, своей категории значимости. Познакомиться с критериями присвоения категорий значимости вы можете в ст. 9 ФЗ от 26.07.2017 №187-ФЗ «О безопасности КИИ РФ».
Результаты категорирования отправляются в Федеральную службу по техническому и экспортному контролю (ФСТЭК), которая, в свою очередь, утверждает список значимых объектов. Форма с рекомендациями по заполнению представлена в приказе ФСТЭК.
В 2022-2023 годах вышли новые нормативно-правовые акты, которые дополнили указанный список требований. С этих пор на значимых объектах КИИ в обязательном порядке должно использоваться российское ПО и доверенные программно-аппаратные комплексы. Причем некоторые компании должны полностью перейти на отечественные ПО и ПАК, а не только на значимых объектах КИИ.
- незамедлительно информировать о компьютерных инцидентах ГосСОПКА (Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ);
- оказывать содействие ГосСОПКА;
- обеспечивать выполнение порядка, технических условий установки и эксплуатации, а также сохранности специальных средств, предназначенных для борьбы с компьютерными атаками и реагирования на компьютерные инциденты.
В качестве одного из важных требований также выступает категорирование объектов КИИ, т.е. присваивание всем объектам КИИ, принадлежащим компании, своей категории значимости. Познакомиться с критериями присвоения категорий значимости вы можете в ст. 9 ФЗ от 26.07.2017 №187-ФЗ «О безопасности КИИ РФ».
Результаты категорирования отправляются в Федеральную службу по техническому и экспортному контролю (ФСТЭК), которая, в свою очередь, утверждает список значимых объектов. Форма с рекомендациями по заполнению представлена в приказе ФСТЭК.
В 2022-2023 годах вышли новые нормативно-правовые акты, которые дополнили указанный список требований. С этих пор на значимых объектах КИИ в обязательном порядке должно использоваться российское ПО и доверенные программно-аппаратные комплексы. Причем некоторые компании должны полностью перейти на отечественные ПО и ПАК, а не только на значимых объектах КИИ.
Что такое российское ПО и доверенный ПАК?
Российское программное обеспечение (ПО) - в том числе в составе программно-аппаратного комплекса - отличается тем, что сведения о нем включены в единый реестр российского ПО (РРПО), также известный как реестр Минцифры. Более подробную информацию о порядке включения в РРПО, а также некоторых сопряженных с этим проблемах можно узнать из наших предыдущих материалов (см. тут).
Что же касается доверенного программно-аппаратного комплекса (ПАК), то, чтобы считаться таковым, он должен соответствовать нескольким важным критериям:
Термин доверенные ПАК относится только к радиоэлектронной продукции, т.к. компании должны перевести на отечественные устройства только объекты информационной инфраструктуры (информационные системы, системы связи, АСУ).
То есть на остальные ПАК на предприятиях эти требования не распространяются.
Общим и наиболее важным для нашего разбора является то, что независимо от того, входит ваше ПО в состав доверенного ПАК или нет, его в любом случае придется регистрировать в реестре российского ПО.
Что же касается доверенного программно-аппаратного комплекса (ПАК), то, чтобы считаться таковым, он должен соответствовать нескольким важным критериям:
- сведения о нем должны содержаться в едином реестре российской радиоэлектронной продукции (реестр РЭП);
- всё ПО в его составе должно быть включено в реестр российского ПО;
- программное обеспечение, используемое в составе ПАК, должно входить в реестр Минпромторга, или сопровождаться заключением об отсутствии его аналогов на территории РФ;
- если ПАК выполняет функцию защиты информации, он должен соответствовать требованиям ФСТЭК и (или) ФСБ и иметь подтверждающий соответствие сертификат.
Термин доверенные ПАК относится только к радиоэлектронной продукции, т.к. компании должны перевести на отечественные устройства только объекты информационной инфраструктуры (информационные системы, системы связи, АСУ).
То есть на остальные ПАК на предприятиях эти требования не распространяются.
Общим и наиболее важным для нашего разбора является то, что независимо от того, входит ваше ПО в состав доверенного ПАК или нет, его в любом случае придется регистрировать в реестре российского ПО.
Сроки перехода
После того, как мы разобрались в понятиях, предлагаем вам познакомиться со сроками, в которые государство обязывает владельцев КИИ перейти на отечественное ПО и ПАК (таблица подготовлена на основе НПА, приведенных в конце статьи):
Обращаем ваше внимание на то, что некоторые сроки заканчиваются уже в этом году: провести категорирование принадлежащих вам объектов КИИ, перейти на российское ПО на значимых объектах КИИ и передать во ФСТЭК планы перехода на доверенные ПАК следует до начала 2025 года.
Риски
В случае неисполнения указанных предписаний вы ставите себя и свою компанию в очень уязвимое положение. С проверкой перехода на отечественные ПО и ПАК к вам могут прийти из ФСТЭК или - что бывает гораздо чаще - прокуратуры. Если они выявят какие-либо правонарушения, вы можете столкнуться со следующими последствиями:
- по ст. 274.1. ч.3. УК РФ - до 6 лет лишения свободы для лиц, ответственных за обеспечение безопасности КИИ (как правило, руководители), или до 10 лет лишения свободы, если нарушение повлекло тяжкие последствия;
- по ст. 13.12.1. КоАП РФ - штраф до 500 тыс. руб. за нарушение требований в области обеспечения безопасности КИИ;
- по ст. 19.5. ч.1. КоАП РФ - штраф от 10 до 20 тыс. руб. за невыполнение предписаний органов власти.
Выводы
Как можно заметить, вопрос о переходе КИИ на отечественные ПО и доверенные ПАК уже давно назрел и сейчас требует активных действий. Самые первые шаги в этом направлении необходимо сделать уже до окончания этого года, в противном случае можно столкнуться с правовой ответственностью вплоть до уголовного наказания.
Список нормативно-правовых актов, регулирующих КИИ в РФ
- ФЗ от 26.07.2017 №187-ФЗ «О безопасности КИИ РФ»;
- Постановление Правительства Российской Федерации от 14.11.2023 № 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации";
- Постановление Правительства от 17.02.2018 №162 «Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ»;
- Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений;
- Указ Президента РФ от 30 марта 2022 г. N 166;
- Методические рекомендации по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации.
- Приказ ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
- Если у вас остались какие-либо вопросы или требуется консультация в осуществлении перехода, вы можете смело обращаться к нам: https://t.me/AGLEGALMESSAGES. Мы всегда вам рады и готовы помочь!