Правительство сформулировало требования к ПО для КИИ

30.08.2022 |

Источник: Прайм-ТАСС СЗ

Во исполнение указа президента №250 правительство выпустило постановление №1478. В нем установлены требования к ПО, используемому органами власти и госкомпаниями на объектах КИИ, правило согласования закупок зарубежного ПО. Также министерствам необходимо подготовить и утвердить планы перехода на российское ПО для всех значимых объектов КИИ.

На официальном интернет-портале правовой информации размещено постановление правительства Российской Федерации №1478. Документ регламентирует ряд мер, которые предписаны в Указе президента №250, прежде всего, требования к ПО, используемому органами власти и госкомпаниями на значимых объектах КИИ. При этом полного запрета на использование зарубежного ПО с формальной точки зрения нет. Но приобретение иностранного ПО должно быть согласовано с отраслевым министерством, а если его стоимость превышает 100 млн рублей, то потребуется дополнительное утверждение в специальной комиссии при Минцифры. Также, согласно документу, министерствам необходимо утвердить отраслевые планы перехода на российское ПО на значимых объектах КИИ, на основе которых госкомпании должны будут сформировать индивидуальные планы перехода.

Руководитель направления информационной безопасности российского вендора Getmobit Сергей Щеглов уверен, что оставленными лазейками для использования зарубежного ПО будут пытаться пользоваться: "Работать надо, а отечественное к 1 января 2025 года разработать точно не успеют. Отраслевым ассоциациям придется вылавливать наиболее одиозные попытки использования импортного ПО". Также, по его мнению, тормозить процесс появления отечественного ПО будет обязательная сертификация, которая занимает время: "В Положении сказано, что ПО для целей обеспечения безопасности значимых объектов КИИ должно соответствовать требованиям ФСТЭК России и/или ФСБ России, а это должно быть подтверждено соответствующим сертификатом. Данный тезис позволяет трактовать, что все средства защиты информации, используемые в КИИ, должны быть сертифицированы, что к настоящему времени не требовалось. А процедура сертификации, все мы знаем — длительный процесс".

Заместитель директора департамента консалтинга группы компаний Innostage Данияр Исхаков обращает внимание на то, что постановление явно подразумевает возможность при составлении плана перехода отложить на более поздние сроки замену ПАКов и оборудования, амортизация которых еще не завершена, или в случае отсутствия соответствующих российской радиоэлектронной продукции и российского программного обеспечения. Также явно указывается, с кем необходимо согласовывать возможность использования радиоэлектронной продукции, телекоммуникационного оборудования и программного обеспечения, сведения ‎о которых не содержатся в реестре радиоэлектронной продукции и в реестрах программного обеспечения.

"Постановление ждали уже давно, его принятие многократно откладывалось. Долгое время при обсуждении КИИ ограничивались вопросами защиты информации, в то время как есть более масштабная проблема - технологическая независимость, без которой бессмысленно говорить о безопасности объектов КИИ. Наконец документ принят, и он достаточно хорошо проработан. Есть и четко определенные сроки перехода на отечественное ПО объектов КИИ, понятные требования по закупке, и четкие правила согласования в случае необходимости временного использования иностранного ПО", - считает председатель совета директоров "Базальт СПО" Алексей Смирнов.

"Основными целями постановления являются запуск процесса импортозамещения используемых на объектах КИИ программно-аппаратных комплексов (ПАК), определение конкретных шагов, которые должны быть выполнены, и сроков их реализации. Составленные и опубликованные планы перехода позволят производителям российской радиоэлектронной продукции оценить требуемые объемы продукции и их технические и функциональные характеристики, что позволит целенаправленно работать над выпуском необходимой рынку продукции, - считает Данияр Исхаков. - Фактически вопросом импортозамещения ПАК субъекты КИИ должны были заниматься с момента выхода указа президента РФ от 30 марта ‎2022 г. №166. Тем более, что через два месяца после даты вступления в силу документа нужно не закончить импортозамещение и даже не подобрать соответствующие аналоги, а только составить план перехода, в котором указать все используемые ПАК, подлежащие импортозамещению. На объекты КИИ должна быть проектная и/или закупочная документация, в которой перечисляются все ПАКи, ПО, оборудование и их технические и функциональные характеристики, поэтому, как мне кажется, с составлением планов проблемы быть не должно".

Сергей Щеглов обращает внимание на следующее: "Вызывает вопрос практического применения положения о возможности использования в КИИ ПО, которое включено в единый реестр программ для электронных вычислительных машин и баз данных государств членов Евразийского экономического союза. Это может послужить лазейкой проникновения "западного" ПО под маркой "евразийского". Кроме того, вызывает вопрос появление нового термина: "ПО для целей обеспечения безопасности значимых объектов КИИ". Что под этим подразумевается, не ясно. Программные средства защиты информации или нечто более широкое?".

Руководитель направления информационной безопасности "Крок" Андрей Заикин назвал среди основных тенденций в области информационной безопасности лавинообразный рост числа атак, нехватку ИБ-кадров и необходимость более оперативной проработки стратегии импортозамещения: "Поскольку информационная безопасность изначально была зарегулированной отраслью, сегодня мы видим, что для многих классов решений ИБ готовые отечественные разработки уже присутствуют. Не по всем направлениям российские аналоги дотягивают до зарубежных, однако отечественные вендоры активно включились в разработку новых решений, нацеленных заменить те, что стали недоступны с уходом западных игроков".

По мнению Алексея Смирнова, основные сложности могут быть связаны с отсутствием некоторых видов отечественного ПО или с недостаточным функционалом. Но тут может сработать программа поддержки разработки отраслевого ПО в рамках которой недавно Минцифра с привлечением профильных ведомств и разработчиков создала индустриальные центры компетенции и центры решений.

Сергей Щеглов видит довольно серьезные и труднорешаемые проблемы на уровне ряда отраслей: "Например, в медицине практически все ПО работает на специализированных ПАК. Заменить его на отечественное практически невозможно. Надо менять весь ПАК сразу. В банковской сфере автоматизированные банковские системы разрабатывались отечественными вендорами годами, но часто базировались на импортных базах данных. Быстро это заменить не получится".

Яков Шпунт