Журнал "Information Security/ Информационная безопасность" #5, 2025

4 • ПРАВО И НОРМАТИВЫ Правила перехода субъектов КИИ на российское ПО Проект постановления Правительства Российской Федерации "О порядке и сроках перехода субъектов критической информационной инфраструктуры Рос- сийской Федерации на использование программ для электронных вычисли- тельных машин и баз данных, сведения о которых включены в единый реестр российских программ для электронных вычислительных машин и баз данных, предусмотренный ст. 121 Федерального закона "Об информации, информацион- ных технологиях и о защите информа- ции", на значимых объектах критической информационной инфраструктуры Рос- сийской Федерации" 1 был представлен Минцифры России к общественному обсуждению 4 сентября 2025 г. К утверждению предлагаются правила перехода субъектов КИИ РФ на исполь- зование программ для электронных вычислительных машин и баз данных, сведения о которых включены в единый реестр российских программ для элек- тронных вычислительных машин и баз данных, предусмотренный ст. 121 Феде- рального закона "Об информации, информационных технологиях и о защи- те информации", на значимых объектах КИИ РФ. Правилами перехода установлено, что они не распространяется на объекты КИИ, принадлежащие субъектам КИИ, в отношении которых до 1 января 2025 г. субъектами КИИ осуществлен переход на использование российского про- граммного обеспечения, в том числе в составе ПАК, включенного в реестр рос- сийского ПО в соответствии с постанов- лением Правительства РФ от 22.08.2022 № 1478. Следует отметить, что в соот- ветствии с Указом Президента РФ от 30 марта 2022 г. № 166 с 1 января 2025 г. органам государственной власти, заказ- чикам (в том числе субъектам КИИ) 2 запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ, если иное не установлено федеральным законом. В других случаях определено, что переход субъектов КИИ на использова- ние российского ПО на значимых объ- ектах КИИ должен быть осуществлен до 1 января 2028 г., либо при установлении иного срока 3 , но не более чем до 1 декаб- ря 2030 г. В рамках правил перехода определе- но, что федеральные органы исполни- тельной власти и организации, являю- щиеся ответственными за организацию перехода субъектов КИИ на использо- вание российского ПО в соответствую- щих сферах (областях) деятельности (уполномоченные органы), в срок до 1 июня 2026 г. разрабатывают и утвер- ждают отраслевые планы перехода. Отраслевые планы перехода в течение пяти рабочих дней со дня их утверждения направляются уполномоченными орга- нами субъектам КИИ. Субъекты КИИ в течение месяца со дня получения отрас- левого плана перехода разрабатывают и по согласованию с уполномоченным органом утверждают свои планы пере- хода. Субъекты КИИ в срок до 1 января 2028 г. (либо в другой установленный срок) направляют в уполномоченные органы отчеты о завершении перехода субъектов КИИ на использование рос- сийского ПО на значимых объектах КИИ. В случае, если после 1 апреля 2026 г. Федеральным законом от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Рос- сийской Федерации" будут установлены иные сферы функционирования значи- мых КИИ, либо если в перечни типовых отраслевых объектов КИИ внесены изме- нения, сроки перехода на использование российского ПО на значимых объектах КИИ для указанных федеральных орга- нов исполнительной власти и организа- ций, либо для новых типов отраслевых объектов КИИ, устанавливается прези- диумом Правительственной комиссии. Для субъектов КИИ, эксплуатирующих ПАК со встроенным ПО 4 , срок полезного использования которых по данным бух- галтерского учета на 1 апреля 2026 г. истекает после 1 января 2028 г., срок перехода на встроенное российское ПО в составе программно-аппаратных ком- плексов определяется на основании срока полезного использования ПАК со встроенным ПО, но не позже 1 января 2035 г. Мониторинг за исполнением субъектами КИИ перехода на российское ПО Проект постановления Правительства РФ "Об утверждении Правил осуществ- ления мониторинга за исполнением субъ- ектами критической информационной инфраструктуры Российской Федерации обязанности по использованию на значи- Обзор изменений в законодательстве обзоре изменений законодательства за сентябрь рассмотрим проекты правил перехода субъектов КИИ на российское ПО и мониторинга за исполнением этого перехода, НПА в сфере обработки ПДн, изменения в закон "О персональных данных", новую методику ФСТЭК России по организации тестирования на проникновение и изменения в порядок сертификации про- цессов безопасной разработки ПО. В Анастасия Заведенская, независимый эксперт по информационной безопасности Сентябрь–2025 1 https://regulation.gov.ru/projects/159943/ 2 Заказчики (за исключением организаций с муниципальным участием), осуществляющие закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ “О закупках товаров, работ, услуг отдельными видами юридических лиц". 3 Срок может быть установлен президиумом Правительственной комиссии по цифровому развитию, использованию информа- ционных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности. 4 Для целей Правил под встроенным ПО понимается ПО, являющееся неотделимой частью ПАК, функционально-технические характеристики которого определяются исключительно совокупностью ПО и технических средств и не могут быть реализованы при их разделении, созданное с целью его установки и эксплуатации в составе такого ПАК, необходимое для выполнения таким ПАК его задач. Фото: Анастасия Заведенская