В России ужесточаются правила перехода на отечественные ПО и «железо» в госорганах и важнейших отраслях
В Госдуму внесен проект изменений в закон о безопасности КИИ. Документ прорабатывался в Минцифры почти полтора года. Теперь госорганы будут контролировать тех, кто уклоняется от попадания в перечень КИИ, чтобы не попасть под строгие требования импортозамещения.
Законопроект внесен в Госдуму
В Госдуму внесен законопроект об изменениях в Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Документ опубликован на информационном ресурсе Государственной Думы.
Он наделяет Правительство России полномочиями определять по каждой отрасли типы информсистем, которые будут отнесены к значимым объектам КИИ, говорится в сообщении по этому поводу на сайте Минцифры. Министерство является инициатором изменений.
По объектам КИИ установят сроки перехода на российские продукты. Они будут связаны с готовностью отечественных решений, а сам переход и соблюдение сроков будут контролироваться отраслевыми ведомствами.
Госорганам и госкомпаниям, в соответствии с указом Президента, подписанным в марте 2022 г., запрещается использовать иностранное ПО на объектах КИИ с 1 января 2025 г.
«Другие категории объектов наделят своим сроком импортозамещения», — уточнили «Коммерсанту» в Минцифры.
Цели законопроекта ведомство определяет следующим образом: переход на российские решения; обеспечение безопасности значимых объектов КИИ.
К объектам КИИ относятся госорганы и учреждения, а также юридические лица из наиболее значимых отраслей: здравоохранения, науки, транспорта, связи, финансов, атомной и топливной энергетики, промышленности (горнодобывающей, металлургической, химической, оборонной, ракетно-космической).
Перечень объектов
Если системы принадлежат к объектам КИИ, то организация обязана соблюдать ряд требований по обеспечению безопасности таких систем, а также по импортозамещению.
Сейчас относить или нет объект КИИ к значимому определяет собственник той или иной информсистемы. Зачастую компании этим пренебрегают и минимизируют количество систем, которые определяются как значимые объекты КИИ, считают в Минцифры. Глава министерства Максут Шадаев заявлял о подготовке законопроекта, касающегося изменений в обеспечении безопасности КИИ еще в ноябре 2022 г.
Теперь госорганы будут мониторить перечень объектов. Если субъекты КИИ предоставят недостоверные или неполные сведения, ФСТЭК направит им требование устранить нарушения.
Для каждой отрасли будет составлен уникальный перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным.
«В целях надлежащего категорирования объектов критической информационной инфраструктуры государственные органы, Центральный банк Российской Федерации и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, формируют перечни типовых отраслевых объектов критической информационной инфраструктуры, включающие в себя наименования типов информационных систем, выполняемых функций и видов деятельности», — написано в документе.
Угроза КИИ
ИТ-инфраструктура в России постоянно находится под угрозой. В октябре 2023 г. CNews писал об изменении характера кибератак. Раньше целью было получение выкупа, а сейчас атаки, идущие от ряда недружественных стран, совершенно точно направлены на разрушительное действие.
Специалисты «К2 Кибербезопасность» сообщили тогда о проведенном исследовании готовности субъектов КИИ к исполнению закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Как выяснилось, 35% респондентов еще находятся на старте реализации проекта и только 7% компаний полностью завершили его. 71% российских компаний заявил о различных сложностях с исполнением этого законодательства.