Обзор Постановления Правительства Российской Федерации от 14.11.2023 № 1912

Дата: 01.12.2023 г.
Автор статьи: Ксения Понаморёва — Руководитель направления критической информационной инфраструктуры в Альтирикс групп

Курс на импортозамещение оборудования и программного обеспечения (ПО) в сфере критической информационной инфраструктуры (КИИ) давно обсуждался и теперь получил свою формализацию в Постановлении Правительства (ПП) РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации». Ниже приведены ключевые пункты данного нормативного документа, их анализ и некоторые размышления.

Скачать ПП РФ от 14.11.2023 № 1912 и приложения ↓

1. Ключевые понятия

Программно-аппаратный комплекс (ПАК) – радиоэлектронная продукция, в том числе телекоммуникационное оборудование, ПО и технические средства (ТС), работающие совместно для выполнения одной или нескольких задач.

Доверенный ПАК – ПАК, который соответствует одновременно всем критериям признания ПАК доверенными, а именно:

• Сведения о ПАК содержатся в едином реестре российской радиоэлектронной продукции.
• ПО, используемое в составе ПАК, соответствует требованиям к ПО, в том числе в составе ПАК, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектов КИИ (ЗОКИИ) Российской Федерации, утвержденным ПП РФ от 22 августа 2022 г. № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».
• ПАК в случае реализации в нем функции защиты информации соответствует требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом) – (этот пункт, надо полагать, говорит о распространении этих требований на СЗИ).

2. Преимущественное применение доверенных ПАК

Применение субъектами КИИ в ЗОКИИ доверенных ПАК, доля которых по состоянию на 31.12.2029 составляет 100% в общем кол-ве ПАК, применяемых субъектами КИИ на принадлежащих им ЗОКИИ.

С 01.09.2024 не допускается использование субъектами КИИ в ЗОКИИ ПАК, приобретенных субъектами КИИ с 01.09.2024 и не являющихся доверенными ПАК, за исключением случаев отсутствия произведенных в России доверенных ПАК, являющихся аналогами. Подтверждением отсутствия российских аналогов являются заключения об отнесении продукции к промышленной продукции, не имеющей произведенных в России аналогов, выданные Минпромторгом в соответствии с ПП РФ № 1135 от 20.09.2017 «Об отнесении продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, и внесении изменений в некоторые акты Правительства Российской Федерации».

3. Сроки перехода на доверенные ПАК

Переход субъектов КИИ на преимущественное применение доверенных ПАК в ЗОКИИ осуществляется до 01.01.2030.

4. Уполномоченные органы

Федеральные органы исполнительной власти и юридические лица (далее – Уполномоченные органы), ответственные за организацию перехода субъектов КИИ на доверенные ПАК назначены для каждой сферы КИИ:

• Министерство здравоохранения Российской Федерации — в сфере здравоохранения,
• Министерство науки и высшего образования Российской Федерации — в сфере науки,
• Министерство транспорта Российской Федерации — в сфере транспорта,
• Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации — в сфере связи,
• Министерство энергетики Российской Федерации — в сферах энергетики и топливно-энергетического комплекса,
• Министерство промышленности и торговли Российской Федерации — в области оборонной, горнодобывающей, металлургической и химической промышленности,
• Министерство финансов Российской Федерации — в банковской сфере и иных сферах финансового рынка (за исключением вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации),
• Федеральная служба государственной регистрации, кадастра и картографии — в сфере государственной регистрации прав на недвижимое имущество и сделок с ним,
• Государственная корпорация по атомной энергии «Росатом» — в области атомной энергии,
• Государственная корпорация по космической деятельности «Роскосмос» — в области ракетно-космической промышленности,
• Центральный банк Российской Федерации — в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации).

5. Отраслевые планы перехода

Уполномоченные органы должны утвердить отраслевые планы организации перехода субъектов КИИ на доверенные ПАК в ЗОКИИ до 01.09.2024. Данные планы будут с пометкой «ДСП», а некоторые могут быть и секретными. Уполномоченные органы начиная с 2026 года ежегодно до 1 мая обеспечивают актуализацию отраслевых планов перехода.

Уполномоченные органы присылают отраслевые планы перехода субъектам КИИ в течение 20 рабочих дней с момента утверждения и предписывают им разработать свой собственный на основании отраслевого (по форме в приложении № 3).

План перехода субъекта КИИ утверждается руководителем субъекта КИИ. Есть особенности для «ГК Росатом», кредитных и некредитных финансовых организаций.

Субъект КИИ в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана с соблюдением требований законодательства РФ о государственной тайне (не совсем понятно, почему сделан акцент именно на законодательстве о государственной тайне, так как выше указано, что отраслевые планы могут быть и несекретными) в Уполномоченный орган, который определяется субъектом КИИ в соответствии со сферой (областью) деятельности субъекта КИИ и (или) основным видом экономической деятельности КИИ (указано как определять сферу – по основному ОКВЭД):

а) до 1 января 2025 г., если сведения об ОКИИ, принадлежащих субъекту КИИ, включены в реестр ЗОКИИ по состоянию на 1 сентября 2024 г.;

б) в 4-месячный срок со дня получения уведомления от ФСТЭК России о внесении сведений об ОКИИ в реестр ЗОКИИ, в случае присвоения ОКИИ, принадлежащему субъекту КИИ, одной из категорий значимости после 1 сентября 2024 г.

6. Реестр отраслевых планов перехода

Уполномоченные органы осуществляют формирование и ведение реестров отраслевых планов перехода в соответствующей сфере (области) деятельности по форме согласно приложению № 4.

Уполномоченный орган в течение 30 рабочих дней со дня поступления от субъекта КИИ копии утвержденного плана перехода принимает решение о включении сведений о плане в отраслевой реестр планов перехода либо об отказе во включении (в документе указаны основания, почему план могут не принять).

В случае принятия решения о включении сведений о плане в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения включает соответствующие сведения в отраслевой реестр планов перехода и направляет субъекту КИИ уведомление о включении. В случае принятия решения об отказе в те же 5 рабочих дней направляется уведомление об отказе с указанием оснований.

7. Изменение планов субъектами КИИ

Субъект КИИ вносит изменения в план:

• в случае получения от уполномоченного органа уведомления об отказе (выше про него указано) — в течение 30 календарных дней со дня получения такого уведомления;
• в случае внесения сведений о ЗОКИИ, не указанных в актуальной редакции утвержденного плана, в реестр ЗОКИИ — в 4-месячный срок со дня получения уведомления от ФСТЭК России о внесении сведений о таких объектах в реестр ЗОКИИ (при наличии у субъекта КИИ утвержденного плана).

Внесение изменений в план осуществляется путем утверждения плана перехода в новой редакции. Далее процедура та же, как описано выше.

8. Реализация плана

Субъекты КИИ, начиная с 2026 года ежегодно, до 1 марта, направляют в Уполномоченные органы с соблюдением требований законодательства Российской Федерации о государственной тайне (снова акцент на законодательство о государственной тайне) отчет о ходе реализации субъектом КИИ плана перехода за предшествующий календарный год по форме согласно приложению № 5.

В целях организации перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им ЗОКИИ Уполномоченными органами могут привлекаться отраслевые центры компетенций, в том числе созданные на базе организаций, подведомственных Уполномоченным органам, или иные организации в порядке, предусмотренном законодательством РФ.

Информацию о доверенных ПАК, являющихся аналогами недоверенных ПАК субъекта КИИ, может прислать Уполномоченный орган.

Краткое резюме

ПАК, не являющиеся доверенными в контексте данного нормативного правового акта (НПА), в том числе средства защиты информации (СЗИ), можно приобрести до 01.09.2024 (не включительно) и далее использовать после этого периода. Приобретение ПАК, не являющихся доверенными, с 01.09.2024 возможно будет только при отсутствии аналогов. Также напомним про ранее принятые НПА в сфере импортозамещения для субъектов КИИ, сроки и требования по которым необходимо согласовать с данным документом:

• В части СЗИ на всех объектах КИИ (не только значимых) – Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
• В части субъектов КИИ, выполняющим закупки по № 223-ФЗ – Указ Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Не совсем понятен последний критерий доверенности ПАК: «ПАК в случае реализации в нем функции защиты информации соответствует требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом)». Функции защиты на уровне идентификации, аутентификации пользователей, управления доступом реализованы во множестве ПАК, не являющихся сертифицированными СЗИ (например, коммутатор, программируемый логический контроллер) – это как раз те самые встроенные средства защиты, приоритетное использование которых предписывает Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Вряд ли ФСТЭК России или ФСБ России будут сертифицировать такой функционал в указанных выше примерах, а ведь ПАК будет считаться доверенным, когда он соответствует одновременно всем 3 критериям.

Акцент на соблюдение законодательства о государственной тайне тоже оставляет вопросы. Тут можно порекомендовать субъектам КИИ ориентироваться на отраслевые планы перехода от Уполномоченных органов, с каким грифом или пометкой они придут, с такими же отправлять собственные разработанные планы и отчеты о ходе их реализации.

Планы субъектов КИИ должны содержать довольно большой перечень информации. Для примера, из формы плана перехода для субъектов КИИ (приложение № 3): «Для вычислительной техники (сервер, система хранения данных, автоматизированное рабочее место и другое) указывается производитель оборудования, модель оборудования, количество центральных процессоров и архитектура центральных процессоров. Для телекоммуникационного оборудования (коммутатор, маршрутизатор, межсетевой экран и другое) указывается производитель оборудования, модель оборудования, максимальная канальная скорость передачи данных (в Мбит/с на порт), количество портов каждого типа и уровень оборудования в иерархии сети (оборудование уровня доступа, оборудование уровня агрегации (распределения), оборудование уровня ядра сети). Для иных видов радиоэлектронной продукции указывается производитель оборудования и модель оборудования». Учитывая, что у некоторых субъектов КИИ количество ЗОКИИ может доходить до сотни, разработка таких планов, поддержание их в актуальном состоянии с учетом появления новых ЗОКИИ будет довольно проблематично. Здесь можно порекомендовать субъектам КИИ на начальном этапе автоматизировать процесс сбора требуемой информации о ЗОКИИ (инвентаризация информационных ресурсов, которая, например, есть в тех же средствах анализа защищенности).

В начало статьи ↑