Запретили закупки госкомпаниями без согласования импортного программного обеспечения для объектов КИИ

Этот документ запрещает не только закупки госкомпаниями импортного софта для его использования на объектах КИИ, но и использование такого ПО. Правда, только с 1 января 2025 года. Этот запрет распространяется на значимые объекты КИИ, принадлежащие госорганам и госкомпаниям.

Кроме того, по этому указу правительство РФ должно в течение апреля подготовить и утвердить требования к ПО, используемому на значимых объектах КИИ госорганов, а также правила согласования закупок иностранного софта для использования на этих объектах.

Еще 6 месяцев правительству отводится на разработку и реализацию мероприятий, обеспечивающих преимущественное использование субъектами КИИ (владельцы объектов КИИ) российской радиоэлектронной продукции и телекоммуникационного оборудования, включая доверенные программно-аппаратные комплексы.

Причем разработку, создание и сервисное обслуживание таких комплексов должно будет обеспечивать специально созданное для этого научно-производственное объединение. Обеспечить организацию такого предприятия также должно правительство РФ. При этом должна быть организована подготовка и переподготовка кадров в сфере разработки, производства, технической и сервисной поддержки радиоэлектронной продукции и телекомоборудования, используемого на объектах КИИ.

В среду директор Центра компетенций по импортозамещению в сфере IT-технологий, член оперштаба по мерам поддержки IT-отрасли при Минцифры Илья Массух заявил, что в России с 2024 года возможно введение запрета на использование госкомпаниями и объектами критической инфраструктуры иностранного ПО.

В среду на "круглом столе", посвященном развитию кадрового потенциала отрасли информационных технологий и мерам поддержки IT-специалистов в современных экономических реалиях, Илья Массух прокомментировал ожидания госзаказчиков, что все наладится и не надо будет переходить на отечественное. По словам Ильи Массуха, потом вышла директива правительства прямая, с указанием переходить на отечественное до 2024 года. В какое-то обозримое время, это месяц или два, выйдет указание президента всем госкомпаниям, объектам критической инфраструктуры прекратить с 2024 года использование зарубежных IT-продуктов. Не только прекратить закупки, а прекратить использовать.

Как сообщалось, с 1 января 2018 года в силу вступил закон о безопасности критической информационной инфраструктуры. Он предусматривает подключение объектов КИИ к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Также в законе оговаривается категорирование объектов КИИ, предъявление к ним, в зависимости от категории, соответствующих требований по обеспечению информационной безопасности.

К настоящему времени в России насчитывается более 50 тыс. объектов КИИ в ведении более чем 5 тыс. организаций. К объектам критической информационной инфраструктуры относятся значимые объекты промышленности, энергетики, связи, транспорта, здравоохранения, обороны, банковского сектора и других ключевых отраслей экономики РФ. С 2018 года, согласно закону "О безопасности критической информационной инфраструктуры РФ" (187-ФЗ), все они обязаны информировать НКЦКИ "о компьютерных инцидентах".

По оценке экспертов, многие объекты КИИ недостаточно защищены от сложных кибератак. Так, в прошлом году вице-президент ПАО "Ростелеком" (MOEX: RTKM) по информационной безопасности Игорь Ляпунов отмечал, что отдельные госорганы РФ не имеют достаточных ресурсов для отражения нового вида долговременных, сложных, комплексных кибератак. При этом он подчеркивал, что обеспечение информбезопасности госорганов, а также объектов КИИ должно быть комплексным.

Весной 2021 года был подписан закон о введении штрафов за нарушения требований к системам безопасности значимых объектов КИИ. Законом вводятся штрафы за нарушение правил создания и функционирования систем безопасности значимых объектов российской КИИ, даже если несоблюдение инструкций не повлекло ущерба для самой инфраструктуры.