Журнал "Information Security/ Информационная безопасность" #2, 2022

Если в секторах ИС и ИТКС уже есть немало наработок и им будет проще, то отдельным сег- ментам, например АСУ ТП, будет намного сложнее. Есть и субъекты КИИ, для которых переход на полностью отечественные системы невозможен. Как будет регулировать- ся невыполнение указаний властей именно в части импортозамещения – до конца не понятно, но вари- антов может быть немало. Неважно, какой у вас объ- ект КИИ, значимый или незначимый. Его защита под вашей ответственностью. начнут разрабатывать новые требования для контроля за использованием иностранного ПО, но и будут создавать новые возможности перехода на оте- чественное. Наверняка будут обновлены правила проведения категорирования и мероприятия по защите объектов КИИ. Возможно, регуляторы опре- делят минимальные требования для ПО, на которое будет осу- ществляться переход, например: l применяемое ПО должно вхо- дить в Единый реестр россий- ских программ для электронных вычислительных машин и баз данных (РПО); l продукты, не включенные в состав РПО, должны поддер- живаться российскими разра- ботчиками. Поиск решения при отсутствии аналогов Отсутствие аналогов отече- ственных решений в сфере КИИ в ключе импортозамещения являет- ся немаловажной проблемой. Если в секторах ИС и ИТКС уже есть немало наработок и им будет проще, то отдельным сег- ментам, например АСУ ТП, будет намного сложнее, ведь необходи- мое оборудование для них в основ- ном производится за рубежом. Остается надеяться, что в ско- ром будущем ФСТЭК разрабо- тает пакет решений по внедре- нию и облегчит задачу облада- телям ИС, ИТКС и АСУ ТП. Есть и субъекты КИИ, для кото- рых переход на полностью оте- чественные системы невозможен, поскольку именно иностранное ПО отвечает их нуждам и их работа без него неосуществима. Что делать в таком случае? В качестве одного из вариан- тов решения проблемы можно апеллировать к Указу Прези- дента Российской Федерации № 166 от 30.03.2022 г. Он пред- усматривает этот момент и пред- лагает решение: если работа объектов КИИ без иностранного ПО неосуществима, то субъекты КИИ могут согласовывать их закупку с федеральным органом исполнительной власти. После консультации со ФСТЭК по этому вопросу выяснилось, что на данный момент механизм согласования налаживается, а само разрешение на закупку иностранных систем необходимо только тем субъектам КИИ, кото- рые создают новый объект. Что будет, если ничего не делать? Можно, конечно, продолжать использовать иностранные решения и надеяться на то, что регулирующие органы (для КИИ основными из них являются ФСТЭК и ФСБ России) войдут в положение и не будут приме- нять штрафные санкции. Одна- ко заявленная задача импор- тозамещения – одна из перво- степенных на сегодня для госу- дарства и бизнеса, поэтому можно не сомневаться, что за ее выполнением будут следить: ФСТЭК – в части формирова- ния требований к проведению категорирования, требований к защите значимых объектов КИИ (ЗОКИИ), а также ведения реестра объектов КИИ по всей России, а ФСБ – в вопросах оценки и координации субъек- тов КИИ. И оба регулятора наверняка применят меры к нарушителям. В настоящий момент вся регу- лятивная правовая составляю- щая в отношении КИИ содер- жится в КоАП РФ и УК РФ. Так, известно, что на долж- ностных лиц и на юридических лиц за непроведение категори- рования, нарушения требований защиты ЗОКИИ и так далее могут быть наложены админи- стративные штрафы (ст. 13.12.1 и 19.7.15 КоАП РФ). Но они же могут понести и более тяжкие наказания, вплоть до уголовной ответственности и лишения сво- боды за неправомерное влия- ние на объекты КИИ, за нару- шение правил эксплуатации (ст. 274 и 274.1 УК РФ) и т.д. Как будет регулироваться невыполнение указаний властей именно в части импортозаме- щения – до конца не понятно, но вариантов может быть нема- ло. Помимо этого, госструктуры в любой момент имеют воз- можность выпустить новый закон, который значительно усложнит положение тех, кто не желает следовать правилам. Что можно сделать прямо сейчас Очевидно, что импортозаме- щение в отрасли КИИ в сего- дняшних реалиях – это необхо- димость. Если тенденция ограничений на иностранное ПО продолжится, это придаст значительный импульс разви- тию отечественных разработок. Существует мнение, что, опира- ясь на Указ № 166 от 30.03.2022 г., правительство РФ планирует в течение трех лет перевести всю инфраструктуру ЗОКИИ на оте- чественное ПО. В свою очередь, возникает повод задуматься о переходе всей инфраструктуры КИИ в России полностью на рос- сийское ПО после 2025 г. Что делать субъектам КИИ уже сейчас? Срочно провести категорирование Если ваша организация отно- сится к КИИ и до сих пор не про- вела категорирование, то сейчас самое время. Можно не сомне- ваться, что плановые и внепла- новые проверки ФСТЭК не заставят себя долго ждать. Как минимум у вас уже дол- жен быть утвержден перечень объектов КИИ до 01.09.2019 г., исходя из п. 2 постановления Правительства РФ № 452 3 . Если нет, то велик шанс как минимум получить администра- тивный штраф. Правильно реализовать защиту объектов КИИ Неважно, какой у вас объект КИИ, значимый или незначимый. Его защита под вашей ответ- ственностью. Если вы будете полностью соблюдать требова- ния регуляторов по защите, то это не только даст вам уверен- ность в том, что соблюдены соответствующие законы, но и позволит не сомневаться, что риски возникновения инцидентов на подконтрольных вам объектах КИИ сведены к минимуму. Следить за новостями от ФСТЭК и регуляторов На данный момент субъектам КИИ только и остается, что ждать новых требований от регуляторов. Будут ли это пра- вила категорирования, защиты, перехода на отечественные системы или что-то еще – оста- ется лишь догадываться. Механизмы уже прорабаты- ваются, а пока субъекты КИИ могут начать подготовку почвы для перехода на отечественное ПО самостоятельно и рассмат- ривать варианты решения раз- личных проблем. l • 27 ИМПОРТОЗАМЕЩЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 3 Постановление Правительства РФ от 13.04.2019 № 452 “О внесении изменений в Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127” http://publication.pravo.gov.ru/Document/View/0001201904160054