Журнал "Information Security/ Информационная безопасность" #4, 2022

10 • ПРАВО И НОРМАТИВЫ низаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфра- структуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обес- печения на таких объектах; Правил пере- хода на преимущественное использова- ние российского программного обес- печения, в том числе в составе про- граммно-аппаратных комплексов, орга- нов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением орга- низаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфра- структуры Российской Федерации" (далее – ПП РФ № 1478). ПП РФ № 1478 вступает в силу со дня его офи- циального опубликования. Напомним, что согласно Указу Прези- дента РФ № 166 с 1 января 2025 г. орга- нам государственной власти, заказчикам (за исключением организаций с муни- ципальным участием), осуществляющим закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдель- ными видами юридических лиц", (далее – заказчики) запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ. ПП РФ № 1478 определило три доку- мента, ранее обозначенных в Указе Президента РФ № 166: 1. Требования к ПО, в том числе в составе ПАК, используемому органами государственной власти, заказчиками, на принадлежащих им значимых ОКИИ РФ (далее – Требования к ПО). 2. Правила согласования закупок ино- странного ПО, в том числе в ПАК, в целях его использования заказчиками на принадлежащих им значимых ОКИИ РФ, а также закупок услуг, необходимых для использования этого ПО на таких объектах (далее – Правила согласования закупок иностранного ПО). 3. Правила перехода на преимуще- ственное использование российского ПО, в том числе в составе ПАК, заказ- чиками на принадлежащих им значимых ОКИИ РФ (далее – Правила перехода). ПП РФ № 1478 для каждой сферы деятельности субъектов КИИ определе- ны свои уполномоченные органы в рам- ках реализации требований ПП РФ № 1478 и Указа Президента РФ № 166. В течение двух месяцев (до 26.10.2022 г.) со дня вступления в силу Правил пере- хода уполномоченные органы должны утвердить отраслевые планы мероприя- тий по обеспечению готовности заказ- чиков к преимущественному использо- ванию российского ПО, в том числе в составе ПАК. Минцифры России совместно с ФСБ России и ФСТЭК Рос- сии до 26.10.2022 г. должны разработать Методические рекомендации по пере- ходу на использование российского ПО, в том числе на значимых объектах КИИ РФ. В течение двух месяцев со дня утверждения этих методических реко- мендаций заказчиками должен быть разработан и утвержден план перехода на преимущественное использование на значимых объектах КИИ российского ПО, в том числе в составе ПАК, состав- ленный на период до 1 января 2025 г. (с разбивкой по годам). План перехода в течение 10 рабочих дней со дня утвер- ждения направляется в Минцифры Рос- сии и уполномоченный орган в сфере деятельности заказчика. Отдельно рассмотрим требования к ПО. ПО, предназначенное для обеспечения безопасности значимых объектов КИИ, а также ПО, предназначенное для обна- ружения, предупреждения и ликвидации последствий компьютерных атак и реа- гирования на компьютерные инциденты и (или) обмена информацией о компью- терных инцидентах на ОКИИ: l должно быть включено в реестр рос- сийских программ или программ госу- дарств – членов Евразийского экономи- ческого союза; l должно соответствовать требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответ- ствующим документом (сертификатом). В части средств защиты информации необходимо применять только ПО, имею- щее документ, подтверждающий его соответствие требованиям, установлен- ным ФСТЭК/ФСБ России. Речь идет о "ПО, предназначенном для обеспечения безопасности" – к нему относится и при- кладное ПО, которое реализует функции безопасности, например идентификацию и аутентификацию. "ПО, предназначен- ное для обмена информацией о ком- пьютерных инцидентах" – новый термин, со сложным толкованием: например, для обмена информацией может при- меняться электронная почта. Согласно правилам, закупка иностран- ного ПО, которое планируется применять для защиты значимых объектов КИИ или для обнаружения, предупреждения и лик- видации последствий компьютерных атак и реагирования на компьютерные инци- денты, может быть не согласована в слу- чае отсутствия документа (сертификата), подтверждающего соответствие требо- ваниям ФСТЭК России, ФСБ России. Изменения в информировании ФСБ России о компьютерных инцидентах Приказ ФСБ России от 07.07.2022 г. № 348 "О внесении изменений в Порядок информирования ФСБ России о ком- пьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, про- веденных в отношении значимых объ- ектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСБ России от 19 июня 2019 г. № 282" 17 , официально опубликован 5 августа 2022 г. Начало действия документа – 16 августа 2022 г. Субъектами КИИ, которым на праве собственности, аренды или ином закон- ном основании принадлежит значимый объект КИИ, должен быть разработан план реагирования на компьютерные инциденты и принятия мер по ликвида- ции последствий компьютерных атак (далее – план). Теперь, согласно изме- нениям, план должен утвердить руково- дитель субъекта КИИ и направить в срок до семи календарных дней со дня утверждения в НКЦКИ. Таким образом, планы, разработанные/измененные и утвержденные после 16 августа, подле- жат отправке в НКЦКИ. Планы, которые содержат положения о привлечении ФСБ России к мероприя- тиям по реагированию на компьютерные инциденты и принятию мер по ликвида- ции последствий компьютерных атак, до их утверждения должны разрабаты- ваться при методическом обеспечении НКЦКИ. Мониторинг представления субъектам КИИ сведений по результатам категорирования Постановление Правительства РФ от 19.08.2022 г. № 1463 "О внесении изме- нения в Правила категорирования объ- ектов критической информационной инфраструктуры Российской Федера- ции" 18 (далее – ПП РФ № 1463) офици- ально опубликовано 23 августа 2022 г. ПП РФ№ 1463 вступило в силу с 31 авгу- ста 2022 г. О проекте ПП РФ № 1463 мы уже говорили ранее в мартовском обзоре изменений законодательства за 2022 г. 19 ПП РФ № 1463 дополняет требования мониторинга актуальности и достовер- ности представления субъектам КИИ све- дений по результатам категорирования. Напомним, что в соответствии с измене- ниями, вносимыми постановлением Пра- вительства Российской Федерации от 24.12.2021 г. № 2431 20 , такой мониторинг с января 2022 г. должны осуществлять государственные органы и российские 17 http://publication.pravo.gov.ru/Document/View/0001202208050004 18 http://publication.pravo.gov.ru/Document/View/0001202208230044 19 См. Заведенская А.А. Обзор изменений в законодательстве. Март – 2022 // Information Security/ Информационная безопасность. 2022. № 2. С. 4–6. 20 http://publication.pravo.gov.ru/Document/View/0001202112270037