Правительство может получить допполномочия по переводу КИИ на российские "железо" и софт

Москва. 11 июля. INTERFAX.RU - Комитет Госдумы по информационной политике, информационным технологиям и связи рекомендовал принять в I чтении, с учетом замечаний и предложений комитета, законопроект № 581689-8 о дополнительных полномочиях правительства по переводу значимых объектов критической информационной инфраструктуры (КИИ) на российское ПО и оборудование.

"Законопроект предусматривает расширение в отношении всех значимых объектов КИИ полномочий правительства в части (права - ИФ) устанавливать порядок перехода на российские решения, а также сами сроки перехода, - сказал замглавы Минцифры Сергей Кучушев на заседании комитета. - Для нас это является критичным, поскольку без введения крайней даты это работать не будет - с точки зрения перехода российских компаний, госкомпаний на всех значимых объектах на российское ПО и на доверенные программно-аппаратные комплексы (ПАК)".

Еще одним значимым нововведением Кучушев назвал наделение отраслевых регуляторов обязанностью определять типовые объекты КИИ, подлежащие обязательному категорированию (в настоящее время категорированием объектов КИИ занимаются их владельцы - компании и госорганы).

"Возможность формировать типовые объекты совместно с ФОИВами - тоже достаточно критичная история, - считает Кучушев. - Теперь ФОИВы совместно с компаниями будут осуществлять системную работу по категорированию объектов КИИ".

Сам законопроект о внесении изменений в закон "О безопасности критической информационной инфраструктуры" (187-ФЗ) правительство внесло в палату в марте 2024 года. Если он будет принят, правительство сможет, в частности, устанавливать требования к ПО и оборудованию, используемому на значимых объектах КИИ, а также случаи и порядок согласования использования соответствующих решений иностранного производства.

Также правительство получит право устанавливать сроки перевода объектов КИИ на преимущественное использование российского ПО и отечественной радиоэлектронной продукции.

Кроме того, правительство сможет определить порядок организации мониторинга процессов перевода объектов КИИ на использование российских решений.

Профильный комитет Госдумы в целом поддержал правительственный законопроект, но предложил уточнить ряд его положений к рассмотрению в I чтении.

В частности, депутаты предложили внести в законопроект критерии отнесения ПО и оборудования к числу российских решений (например, считать российским ПО те программные продукты, которые включены в Реестр российского ПО - ИФ), уточнить термин ПО и радиоэлектронная продукция, происходящая из иностранных государств.

Также депутаты указали на необходимость конкретизации понятия "преимущественное использование российского ПО и отечественной радиоэлектронной продукции на объектах КИИ". Без этого соответствующая норма может получить произвольное толкование в правоприменительной практике.

Кроме того, по мнению депутатов в законопроекте требуется уточнить сферу его применения - должен ли он распространяться только на значимые объекты КИИ или должен применяться ко всем объектам КИИ.

Согласно положениям 187-ФЗ, к субъектам КИИ относятся госорганы, российские юрлица и индивидуальные предприниматели, которым принадлежат ИС, ИТС и АСУ в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, в финсекторе, топливно-энергетическом комплексе, атомной энергетике, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Установлено три категории значимости объектов КИИ. Для значимых объектов должны быть созданы системы обеспечения информационной безопасности (СОИБ), удовлетворяющие определенным требованиям.

В 2022 году были приняты указы президента №166 и №250, направленные на усиление уровня информбезопасности объектов КИИ. Так, например, последний из документов устанавливает запрет на использование импортных (из недружественных стран) СЗИ на объектах КИИ. Помимо этого, с 1 сентября текущего года компаниям (владельцам объектов КИИ) запрещено закупать для использования в рамках КИИ иностранные программно-аппаратные комплексы (ПАК). Также до конца года должны быть подготовлены отраслевые планы по переводу всех объектов КИИ на работу с российскими доверенными ПАКами. Сам этот переход должен быть завершен к 2030 году.

Кроме того, с марта 2023 года были снижены границы ущерба федеральному бюджету, расцениваемого как значимый (в случае кибер-инцидентов на объектах КИИ). Кроме того, в перечень субъектов КИИ экономической сферы помимо банков включены финансовые организации, а к социально-значимым негативным последствиям сейчас относятся не только нарушения функционирования транспортной инфраструктуры, но и транспортных средств.

Таким образом, число субъектов КИИ, для которых перечисленные требования стали обязательными, значительно выросло. По словам участников рынка информационной безопасности, в настоящее время точное количество подобных объектов пока не известно. Ранее, при "старой" версии закона (187-ФЗ), число объектов КИИ оценивалось приблизительно в 50 тысяч информационных систем.