Журнал "Information Security/ Информационная безопасность" #1, 2021

Импортозамещение в критической информационной инфраструктуре (и не только) 2 февраля 2021 г. Минцифры России в очередной раз представило к обществен- ному обсуждению проект постановления Правительства РФ "Об утверждении тре- бований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, исполь- зуемым на объектах критической инфор- мационной инфраструктуры, и порядка перехода на преимущественное исполь- зование российского программного обес- печения, телекоммуникационного обору- дования и радиоэлектронной продукции" (далее – проект ПП РФ). К проекту ПП РФ для публичного обсуждения также приложен порядок перехода на преиму- щественное использование российского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной продукции (далее при совместном упоминании – ПО и оборудо- вание). Напомним, что первые варианты про- ектов нормативно-правовых актов, направленных на импортозамещение в КИИ, были опубликованы еще в мае 2020 г. 17 . Октябрьские проекты 2020 г. 18 получили отрицательную оценку регу- лирующего воздействия. В новой версии проекта ПП РФ отка- зались от термина "оборудование, используемое на объектах КИИ", уточ- нив область действия импортозамеще- ния – телекоммуникационное оборудо- вание и радиоэлектронная продукция. Чтобы ПО и оборудование, используе- мые на объектах КИИ, соответствовали требованиям новой редакции проекта ПП РФ, они должны быть включены в единый реестр российских программ для электронных вычислительных машин и баз данных (далее – РПО) или единый реестр программ для электрон- ных вычислительных машин и баз дан- ных из государств – членов Евразий- ского экономического союза (далее – РЕП) и (или) в единый реестр россий- ской радиоэлектронной продукции (далее – РРП). Если же ПО и оборудо- вание не включены в РПО (или РЕП) и (или) в РРП, субъект КИИ обязан предусмотреть для них: l возможность модернизации россий- скими организациями; l возможность гарантийного обслужи- вания и технической поддержки россий- скими организациями. Таким образом, субъект КИИ для всех объектов КИИ (независимо от присвое- ния им категории значимости) будет обязан: 1. Провести аудит существующего и (или) проектируемого объекта КИИ. 2. Провести анализ требований, вво- димых проектом ПП РФ, и наличия ана- логов используемого (планируемого для использования) иностранного ПО и обо- рудования, включенных в РПО, РЕП и (или) РРП. 3. Провести анализ текущих сроков амортизации телекоммуникационного оборудования и радиоэлектронной про- дукции и срока действия прав на исполь- зование ПО для не включенных в РПО, РЕП и (или) РРП. 4. По результатам проведенного ана- лиза направить на согласование пере- чень используемых и (или) планируемых для использования иностранных ПО и оборудования с кратким обоснованием предъявляемых требований, в части ПО – в Минцифры России,в части теле- коммуникационного оборудования и радиоэлектронной продукции в – Мин- промторг России. 5. С учетом проведенного анализа и при наличии (в случае необходимости) согласования Минцифры России и (или) Минпромторга России определить пере- чень потенциального российского ПО, оборудования и радиоэлектронной про- дукции для дальнейшего перехода на его использование. 6. По итогам реализованных меро- приятий, с учетом сроков перехода на преимущественное использование оте- чественного ПО и оборудования, подго- товить и до 1 июля 2021 г. утвердить план перехода на преимущественное использование российского ПО и обо- рудования (далее – план). • 17 ПРАВО И НОРМАТИВЫ www.itsec.ru 17 https://regulation.gov.ru/projects#npa=102172 18 https://regulation.gov.ru/Projects/List#npa=109874 Пирамида цифровых угроз