Глава Минцифры считает, что "опоздавших" все же вынудят перевести КИИ на российский софт

Москва. 7 ноября. INTERFAX.RU - Владельцев значимых объектов критической информационной инфраструктуры, не выполнивших требование указа президента №166 о переводе объектов КИИ на российский софт по объективным причинам, могут обязать заключать форвардные контракты на разработку необходимых решений, заявил на CNews Forum глава Минцифры Максут Шадаев.

"Те компании, которые не смогли перейти на российский софт (перевести объекты КИИ - ИФ), все-таки должны взять на себя определенные юридически значимые обязательства (по переводу - ИФ), - сказал он. - Наша задача все-таки их принудить к определенному, как мы говорим, форвардному контракту".

Речь идет о тех компаниях и организациях, которые не смогли перевести принадлежащие им объекты КИИ на российский софт по объективным причинам. К последним министр отнес отсутствие финансирования (в том числе бюджетного - в случае с госорганами) или российских аналогов решений иностранных компаний.

"Отсутствие решения, это не является основанием ничего не делать, - подчеркнул Шадаев. - Берите разработчика, в которого вы верите, подписывайте с ним форвардный контракт, что если он сделает решение, которое будет соответствовать всем вашим требованиям, то вы обязательно его купите. И этот документ должен быть юридически значимым, обязывающим, а мы готовы такие проекты финансово поддерживать опять же в рамках какого-то софинансирования в рамках нового нацпроекта".

Долю компаний и организаций, которые перевели свои объекты КИИ на российский софт, Шадаев не назвал. По его словам, итоги по переводу КИИ на отечественное ПО будут подводиться в начале 2025 года.

"Но очевидно, что будут те компании и те даже государственные органы, которые не смогли в полной мере перевести свои системы на российские решения, - отметил министр. - Безусловно, по каждому случаю будет проведен определенный анализ причин".

Шадаев отметил также, что ряд владельцев объектов КИИ старается уйти из-под действия президентского указа и не проводят категорирования объектов КИИ. Для решения этой проблемы подготовлен и внесен в Госдуму (уже прошел I чтение) законопроект, по которому отраслевые регуляторы смогут для своей индустрии устанавливать классификацию типовых объектов КИИ.

"У компаний не будет возможности их не классифицировать, - подчеркнул Шадаев. - И здесь получается более гибкая модель, более обязывающая в части полноты покрытия важных систем, которые признаются КИИ. По ней не будет одного срока по всем типам объектов КИИ - по каждому типовому объекту будет установлен свой срок перехода на российские решения. Она будет трех- максимум - пятилетняя".

Как сообщалось, согласно положениям 187-ФЗ ("О безопасности критической информационной инфраструктуры"), к субъектам КИИ относятся госорганы, российские юрлица и индивидуальные предприниматели, которым принадлежат ИС, ИТС и АСУ в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, в финсекторе, топливно-энергетическом комплексе, атомной энергетике, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Установлено три категории значимости объектов КИИ. Для значимых объектов должны быть созданы системы обеспечения информационной безопасности (СОИБ), удовлетворяющие определенным требованиям.

В 2022 году были приняты указы президента №166 и №250, направленные на усиление уровня информбезопасности объектов КИИ. Так, указ №250 устанавливает запрет на использование импортных (из недружественных стран) СЗИ на объектах КИИ.

Кроме того, с марта 2023 года были снижены границы ущерба бюджету, расцениваемого как значимый (в случае киберинцидентов на объектах КИИ). Также в перечень субъектов КИИ экономической сферы помимо банков включены финансовые организации, а к социально-значимым негативным последствиям сейчас относятся не только нарушения функционирования транспортной инфраструктуры, но и транспортных средств.

Таким образом, число субъектов КИИ, для которых перечисленные требования стали обязательными, значительно выросло. По словам участников рынка информационной безопасности, в настоящее время точное количество подобных объектов пока не известно. Ранее, при "старой" версии закона (187-ФЗ), число объектов КИИ оценивалось приблизительно в 50 тысяч информационных систем.