Рассмотрим, какие нормативные правовые акты реально регулируют применение иностранных решений в КИИ, какие действуют ограничения и запреты, где всё ещё могут быть использованы альтернативные варианты.
- Введение
- Основные нормативные правовые акты
- Указ Президента РФ № 166
- Указ Президента РФ № 250
- Постановление Правительства РФ № 1478
- Постановление Правительства РФ № 1912
- Таблица запретов
- Приказы ФСТЭК России № 239 и № 76
- Выводы
Введение
Законодательство в области защиты критической информационной инфраструктуры (КИИ) содержит немало требований и запретов, разобраться в которых порой бывает не так просто в силу обилия нормативных правовых актов и специфики их юридического языка.
В этой статье рассмотрен один из «классов» действующих ограничений, а именно запреты — явные и неявные — на использование иностранных решений на объектах критической информационной инфраструктуры. Забегая вперёд, стоит отметить, что тезис о полном запрете в КИИ всего, что не является отечественным, неверен.
Основные нормативные правовые акты
Законодательное регулирование в сфере импортозамещения начало активно формироваться ещё в 2014 году как ответ на санкции, введённые против Российской Федерации (РФ) по следам хорошо известных всем событий того года.
С тех пор было принято немало законов, постановлений, распоряжений, приказов и иных нормативных правовых актов (НПА) об импортозамещении, ранее принятые акты неоднократно изменялись, а счёт статьям и комментариям в отраслевых изданиях, полагаю, уже давно идёт на сотни, если не на тысячи. Однако все устанавливаемые и разъясняемые этими документами запреты не являются предметом данной статьи, хотя если субъект КИИ осуществляет свои закупки для обеспечения государственных и муниципальных нужд, то помимо рассмотренных ниже ограничений ему необходимо учесть и положения Постановления Правительства РФ № 1236 от 16.11.2015 «Об установлении запрета на допуск ПО, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» и всех связанных НПА.
Среди НПА, ограничивающих применение иностранных решений и непосредственно относящихся именно к субъектам КИИ, стоит выделить следующие.
- НПА с прямыми запретами и ограничениями:
- Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»;
- Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
- Постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»;
- Постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».
- НПА с косвенными запретами и ограничениями:
- Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
- Приказ ФСТЭК России от 02.06.2020 № 76 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
Далее каждый из упомянутых НПА будет рассмотрен подробнее.
Указ Президента РФ № 166
Этот указ содержит всего три пункта. В первом устанавливаются два запрета:
а) с 31 марта 2022 года всем организациям (за исключением организаций с муниципальным участием), осуществляющим закупки в соответствии с Федеральным законом № 223-ФЗ (далее в указе именуются заказчиками), закупать для использования на значимых объектах (ЗО) КИИ без согласования с уполномоченным федеральным органом исполнительной власти (ФОИВ) или Центральным банком Российской Федерации (Банком России):
- иностранное программное обеспечение (ПО), в том числе в составе программно-аппаратных комплексов (ПАК);
- услуги необходимые для использования иностранного ПО (в том числе в составе ПАК);
б) с 1 января 2025 года органам государственной власти и всем заказчикам на ЗО КИИ:
- использовать иностранное ПО, в том числе в составе ПАК.
Упоминание Банка России в подпункте «а» было добавлено совсем недавно — Указом Президента РФ от 30 марта 2022 г. № 166. Остальные ФОИВ определены Постановлением Правительства РФ № 1478, о котором речь пойдёт ниже.
Формально в подпункте «б» написано, что запрещено «иностранное программное обеспечение», но поскольку выше термин «программное обеспечение» был расширительно переопределён со включением в его состав в том числе ПО в составе ПАК, корректно именно так его и трактовать. Далее по тексту для упрощения восприятия тоже будем использовать просто «ПО», подразумевая «в том числе в составе ПАК».
Важно ещё, что в подпункте «б» нет оговорки про возможность отдельного согласования с уполномоченным ФОИВ или Банком России — просто полный запрет без вариантов.
Второй пункт Указа № 166 определяет ряд поручений Правительству РФ:
а) утвердить:
- а.1)* требования к ПО, используемому органами госвласти и заказчиками, на ЗО КИИ;
- а.2) правила согласования закупок иностранного ПО и услуг, необходимых для его использования, на ЗО КИИ;
б) реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения субъектами КИИ отечественных радиоэлектронной продукции и телекоммуникационного оборудования на принадлежащих им ЗО КИИ, в том числе:
- б.1) определить сроки и порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗО КИИ;
- б.2) обеспечить внесение в законодательство РФ изменений в соответствии с настоящим Указом;
- б.3) обеспечить создание и организацию деятельности научно-производственного объединения (НПО), специализирующегося на разработке, производстве, технической поддержке и сервисном обслуживании (ТП и СО) доверенных ПАК для КИИ;
- б.4) организовать подготовку и переподготовку кадров в сфере разработки, производства, ТП и СО радиоэлектронной продукции и телекоммуникационного оборудования;
- б.5) создать систему мониторинга и контроля в названной сфере;
в) обеспечить контроль:
- в.1) за соблюдением заказчиками правил, утверждённых в соответствии с подпунктом «а» настоящего пункта (речь о правилах согласования закупок);
- в.2) за выполнением органами госвласти, заказчиками запрета, установленного подпунктом «б» пункта 1 настоящего Указа (речь о запрете на использование иностранного ПО).
* В оригинале нет нумерации — «а.1» и т. д.; она добавлена автором для удобства отсылок.
Подпункт «а.2» поручает Правительству определить правила согласования закупок, о которых речь шла в подпункте «а» пункта 1, а вот подпункт «а.1» более интересен — он предполагает установление дополнительных требований к ПО, используемому на ЗО КИИ. Весь подпункт «а» пункта 2 выполнен Постановлением Правительства РФ № 1478, рассмотренным ниже.
По поводу подпункта «б» пункта 2 необходимо отметить, что в нём уже не идёт речи о заказчиках и органах госвласти — он относится к ЗО КИИ всех субъектов КИИ в целом. Этот подпункт выполнен Постановлением Правительства № 1912, детальное рассмотрение которого также приведено далее.
Наконец, финальный пункт 3 лишь определяет срок вступления указа в силу со дня его подписания — 30 марта 2022 года.
Указ Президента РФ № 250
Следующий указ тоже весьма короток, к тому же к рассматриваемой тематике запрета иностранных решений относится только пункт 6, но нам потребуется ещё определение термина «органы (организации)» из пункта 1, вот оно:
- федеральные органы исполнительной власти;
- высшие исполнительные органы государственной власти субъектов РФ;
- государственные фонды;
- государственные корпорации (компании) и иные организации, созданные на основании федеральных законов;
- стратегические предприятия и акционерные общества (перечень утверждён Указом Президента РФ от 04.08.2004 № 1009 «Об утверждении перечня стратегических предприятий и стратегических акционерных обществ»);
- системообразующие организации российской экономики;
- юридические лица, являющиеся субъектами КИИ РФ.
Именно для такого перечня органов (организаций) и устанавливается запрет в том единственном пункте 6, который важен для обсуждаемой тематики:
- Установить, что с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации (СрЗИ), странами происхождения которых являются иностранные государства, совершающие в отношении РФ, российских юрлиц и физлиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
Важно отметить, что Указ № 250 в силу приведённого выше определения органов (организаций) распространяется в том числе на все юрлица, которые являются субъектами КИИ, а не только на те, которые осуществляют закупки по 223-ФЗ, как это было в Указе № 166. С другой стороны, и запрет, если так можно выразиться, гораздо мягче: запрещены только СрЗИ (а не вообще всё ПО) и только с происхождением из «недружественных» стран.
Сам перечень недружественных стран (точнее — иностранных государств и территорий, совершающих в отношении РФ, российских юрлиц и физлиц недружественные действия) был утверждён Распоряжением Правительства РФ № 430-р от 05.03.2022 и дважды в том же 2022 году уточнялся, так что в итоге сейчас содержит 22 наименования государств и территорий (не считая отдельно владения британской короны и британские заморские территории) и ещё 27 государств — членов Европейского Союза. Гарантировать, что этот список не будет в дальнейшем дополнительно расширен, нельзя, так что при выборе неотечественных СрЗИ надо данный риск учитывать.
Наконец, говоря об СрЗИ следует учесть, что в соответствии с пунктом 2.7.2 ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» под «средством защиты информации» понимается «техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации», а потому если встроенные возможности, например, операционной системы, сетевого устройства либо прикладного ПО используются для защиты информации (аутентификация пользователей, фильтрация сетевого графика и т. п.), то такое средство также следует рассматривать в качестве СрЗИ со всеми вытекающими из этого запретами.
Таким образом, вариантом подхода к использованию иностранного ПО на значимых объектах КИИ может быть отключение либо незадействование встроенных в него защитных функций с одновременным применением дополнительных наложенных либо внешних СрЗИ, не подпадающих под ограничение Указа № 166.
Постановление Правительства РФ № 1478
Во исполнение поручений из подпункта «а» пункта 2 Указа № 166 Правительство РФ своим Постановлением № 1478 установило для госорганов, заказчиков и их значимых объектов КИИ требования к используемому ПО, правила согласования закупок иностранного ПО и правила перехода на преимущественное использование российского ПО.
Требований к используемому ПО установлено всего два:
- Всё ПО (напомним, что в том числе и в составе программно-аппаратных комплексов) должно быть включено в единый реестр российских программ для электронных вычислительных машин (ЭВМ) и баз данных (БД) или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза, за исключением Российской Федерации.
- ПО, предназначенное для обеспечения безопасности значимых объектов КИИ РФ, а также для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах на объектах КИИ РФ, должно соответствовать:
- требованиям из п. 1;
- требованиям установленным ФСТЭК и (или) ФСБ России, что должно быть подтверждено соответствующим документом (сертификатом).
Проще говоря, ПО должно быть включено в реестр отечественных программ, а если оно является СрЗИ, то дополнительно иметь сертификат ФСТЭК / ФСБ России.
Правила согласования закупок иностранного ПО устанавливают заявительный характер такого согласования: заявка с установленным содержимым направляется в уполномоченный ФОИВ (их список утверждён пунктом 2 этого же постановления) либо в Банк России (для кредитных и некредитных финансовых организаций) и рассматривается в установленном порядке.
Подробнее описывать эти правила в контексте рассматриваемого вопроса о запретах смысла нет, как и детально разбирать правила перехода на преимущественное использование российского ПО. Стоит только отметить, что правила перехода определяют разработку уполномоченными ФОИВ отраслевых планов, а каждый из заказчиков разрабатывает свой собственный план, но в любом случае все эти планы должны предусматривать завершение перехода к 1 января 2025 года.
Пункт 2 Постановления Правительства РФ № 1478 помимо определения уполномоченных ФОИВ (Минздрав, Минобрнауки, Минтранс, Минцифры, Минэнерго, Минпромторг) дополнительно:
б) позволяет уполномоченным ФОИВ и Банку России привлекать отраслевые центры компетенций по импортозамещению ПО;
в) определяет, что Минцифры осуществляет контроль за соблюдением заказчиками (кроме кредитных и некредитных финансовых организаций) правил согласования закупок иностранного ПО и за соблюдением запрета на использование иностранного ПО;
г) определяет, что Банк России осуществляет контроль и мониторинг соблюдения заказчиками — кредитными и некредитными финансовыми организациями правил согласования закупок иностранного ПО, а также планов мероприятий по переходу.
Пункт 3 позволяет Минцифры для осуществления функций контроля из подпункта «в» пункта 2 привлекать экспертные организации.
Пункт 4 поручает Минцифры по согласованию с ФСТЭК и ФСБ России утвердить методические рекомендации по переходу на использование российского ПО, в том числе на значимых объектах КИИ РФ. Это поручение было выполнено выпуском приказа Минцифры России № 21 от 18.01.2023 «Об утверждении Методических рекомендаций по переходу на использование российского ПО, в том числе на ЗО КИИ РФ, и о реализации мер, направленных на ускоренный переход органов госвласти и организаций на использование российского ПО в РФ».
Наконец, пункт 5 определяет, что постановление вступает в силу со дня его официального опубликования — с 26 августа 2022 года.
Постановление Правительства РФ № 1912
Второе Постановление Правительства РФ во исполнение поручений из Указа № 166, а конкретнее — подпункта «б» пункта 2, определяет порядок перехода на доверенные ПАК.
Стоит ещё раз подчеркнуть, что и в упомянутом подпункте «б» пункта 2 Указа № 166, и в самом Постановлении № 1912 речь идёт о ЗО КИИ всех субъектов КИИ, а не только органов госвласти и заказчиков.
Основные сроки в Постановлении № 1912 — следующие:
- переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им ЗО КИИ осуществляется до 1 января 2030 года;
- с 1 сентября 2024 года на ЗО КИИ не допускается использование ПАК, приобретённых субъектами КИИ с 1 сентября 2024 года и не являющихся доверенными, за исключением случаев отсутствия произведённых в РФ доверенных аналогов, при этом подтверждением отсутствия доверенных аналогов являются заключения Минпромторга (выданные в соответствии с правилами, утверждёнными Постановлением Правительства РФ от 20 сентября 2017 г. № 1135);
- до 1 сентября 2024 года уполномоченным органам (Минздрав, Минобрнауки, Минтранс, Минцифры, Минэнерго, Минпромторг, Минфин, Росреестр, Росатом, Роскосмос, Банк России) определить должностное лицо (не ниже замруководителя), ответственное за организацию перехода, и утвердить планы организации перехода субъектов КИИ РФ на преимущественное применение доверенных ПАК на ЗО КИИ в соответствующих сферах (областях) деятельности.
В сухом остатке — свободно покупать недоверенные ПАК для использования на ЗО КИИ можно только до 1 сентября этого года, далее потребуется озаботиться заключением Минпромторга об отсутствии аналогов, а вот использовать такие ПАК можно и позже.
Пара важных определений из правил перехода:
- Программно-аппаратный комплекс (ПАК) — радиоэлектронная продукция, в том числе телекоммуникационное оборудование, программное обеспечение и технические средства, работающие совместно для выполнения одной или нескольких сходных задач.
- Доверенный ПАК — ПАК, который соответствует одновременно всем критериям признания доверенным программно-аппаратным комплексом, а именно:
- 1. Сведения о ПАК содержатся в едином реестре российской радиоэлектронной продукции.
- 2. ПО, используемое в составе ПАК, соответствует требованиям к ПО, утверждённым Постановлением Правительства РФ от 22 августа 2022 года № 1478 (т. е. должно быть включено в единый реестр российских программ или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза).
- 3. ПАК в случае реализации в нём функции защиты информации соответствует требованиям установленным ФСТЭК и (или) ФСБ России, что должно быть подтверждено соответствующим документом (сертификатом).
Сам порядок разработки и актуализации планов перехода (они будут отраслевыми, и у каждого субъекта КИИ — свой собственный) подробно рассматривать не станем. Отраслевые планы перехода будут документами «Для служебного пользования» или даже с грифом секретности, с 2026 года будут ежегодно обновляться до 1 мая соответствующего года и направляться адресно субъектам КИИ. Субъекты КИИ ежегодно до 1 марта, начиная с 2026 года, должны будут отчитываться о ходе реализации планов перехода.
Все планы должны предусматривать целевое значение доли доверенных ПАК в общем количестве ПАК на ЗО КИИ по состоянию на 31 декабря 2029 года не менее 100 %.
Таблица запретов
Таблица 1. Сводный перечень запретов со сроками и пояснениями о предметах запрета и областях их действия
Документ |
Срок |
Область действия |
Предмет запрета |
Суть запрета |
Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» (пункт 1, подпункт «а») |
С 31 марта 2022 года |
Все организации, осуществляющие закупки в соответствии с Федеральным законом от 18.07.2011 № 223-Ф3 «О закупках…» (за исключением организаций с муниципальным участием) |
ПО, в том числе в составе ПАК, для использования на ЗО КИИ, а также услуги, необходимые для использования ПО (и ПАК) |
Запрет на закупки иностранных решений без согласования с ФОИВ, уполномоченным Правительством РФ |
Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» (пункт 1, подпункт «б») |
С 01 января 2025 года |
Все организации, осуществляющие закупки в соответствии с Федеральным законом от 18.07.2011 № 223-Ф3 «О закупках…» (за исключением организаций с муниципальным участием), и органы госвласти |
ПО, в том числе в составе ПАК, для ЗО КИИ |
Запрет на использование иностранного ПО |
Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению ИБ РФ» (пункт «6») |
С 01 января 2025 года |
Органы (организации), являющиеся субъектами КИИ |
Средства защиты информации |
Запрет на использование СрЗИ, странами происхождения которых являются недружественные иностранные государства |
Постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к ПО, Правил согласования закупок иностранного ПО и услуг…» (требования к ПО, пункт 1) |
С 01 января 2025 года |
Все организации, осуществляющие закупки в соответствии с Федеральным законом от 18.07.2011 № 223-Ф3 «О закупках…» (за исключением организаций с муниципальным участием), и органы госвласти |
ПО, в том числе в составе ПАК, для ЗО КИИ |
Должно быть включено в единый реестр российских программ для ЭВМ и БД или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза |
Постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к ПО, Правил согласования закупок иностранного ПО и услуг…» (требования к ПО, пункт 2) |
С 01 января 2025 года |
Все организации, осуществляющие закупки в соответствии с Федеральным законом от 18.07.2011 № 223-Ф3 «О закупках…» (за исключением организаций с муниципальным участием), и органы госвласти |
ПО для обеспечения безопасности ЗО КИИ, для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах |
Должно быть включено в единый реестр российских программ для ЭВМ и БД или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза, за исключением РФ. Дополнительно — соответствовать требованиям ФСТЭК и (или) ФСБ России (иметь сертификат) |
Постановление Правительства РФ № 1912 «О порядке перехода субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им ЗО КИИ РФ» |
С 01 сентября 2024 года — закупки (без отдельного заключения Минпромторга об отсутствии аналогов); с 01 января 2030 года — использование |
Все субъекты КИИ |
ПАК для ЗО КИИ |
ПАК должен быть включён в единый реестр российской радиоэлектронной продукции. ПО в составе ПАК должно быть включено в единый реестр российских программ для ЭВМ и БД или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза, за исключением РФ. Дополнительно ПО для защиты информации должно соответствовать требованиям ФСТЭК и (или) ФСБ России (иметь сертификат) |
Приказы ФСТЭК России № 239 и № 76
Наконец, рассмотрим самые характерные косвенные запреты иностранных решений в действующей системе нормативных правовых актов.
Согласно пункту 31 приказа ФСТЭК России № 239, применяемые в ЗО программные и программно-аппаратные средства, в том числе СрЗИ, должны быть обеспечены гарантийной и (или) технической поддержкой. Это требование не так просто выполнить для тех ПО и ПАК, производители которых прекратили деятельность на территории Российской Федерации, но тем не менее опыт (в том числе общения с регулятором) показывает, что гарантийная и техническая поддержка не обязательно должна обеспечиваться именно производителем: вполне возможно обойтись собственными силами, при наличии квалифицированного персонала, либо же воспользоваться услугами сторонних организаций. Стоит отметить, что, в частности, проверенные обновления для широко распространённого ПО ФСТЭК России публикует на своём портале.
Понятно, что если нет готовности осуществлять поддержку самостоятельно либо искать надёжного подрядчика, более целесообразно перейти на ПО / ПАК с официальной поддержкой от производителя — отечественного либо продолжающего работать на территории РФ.
Более сложные требования выдвигают другие пункты приказа ФСТЭК России № 239:
- 29.3. Прикладное ПО, планируемое к внедрению в рамках создания (модернизации или реконструкции, ремонта) ЗО и обеспечивающее выполнение его функций по назначению, должно соответствовать следующим требованиям по безопасности:
- 29.3.1. Требования по безопасной разработке ПО:
- наличие руководства по безопасной разработке ПО, проведение анализа угроз безопасности информации ПО;
- наличие описания структуры ПО на уровне подсистем и результатов сопоставления функций ПО и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для ПО, планируемого к применению в ЗО 1-й категории значимости).
- 29.3.2. Требования к испытаниям по выявлению уязвимостей в ПО:
- проведение статического анализа исходного кода программы;
- проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;
- проведение динамического анализа кода программы (для ПО, планируемого к применению в ЗО 1-й категории значимости).
- 29.3.3. Требования к поддержке безопасности ПО:
- наличие процедур отслеживания и исправления обнаруженных ошибок и уязвимостей ПО;
- определение способов и сроков доведения разработчиком (производителем) ПО до его пользователей информации об уязвимостях ПО, о компенсирующих мерах по защите информации или ограничениях по применению ПО, способов получения пользователями ПО его обновлений, проверки их целостности и подлинности;
- наличие процедур информирования субъекта КИИ об окончании производства и (или) поддержки ПО (для ПО, планируемого к применению в ЗО 1-й категории значимости).
- 29.4. Выполнение требований по безопасности, указанных в подпунктах 1–3 пункта 29.3 настоящих Требований, оценивается лицом выполняющим работы по созданию (модернизации, реконструкции или ремонту) ЗО и (или) обеспечению его безопасности на этапе проектирования ЗО на основе результатов анализа материалов и документов, представляемых разработчиком (производителем) ПО в соответствии с техническим заданием (частным техническим заданием), разрабатываемым в соответствии с пунктом 10 настоящих Требований.
- Результаты оценки включаются в проектную документацию на ЗО (подсистему безопасности ЗО) и представляются субъекту КИИ.
Эти требования, вступившие в силу с 01 января 2023 года, без участия разработчика выполнить крайне затруднительно, если не сказать невозможно. Распространяются они, правда, только на создаваемые и модернизируемые ЗО, но серьёзно ограничивают применение ПО в том числе и из вполне дружественных стран, ведь даже далеко не все отечественные производители успели озаботиться реализацией нужных регламентов и процедур.
Наконец, финальное требование из приказа ФСТЭК России № 239, которое есть смысл рассмотреть с точки зрения косвенного запрета на иностранные решения, звучит так:
- 28. Для обеспечения безопасности ЗО КИИ должны применяться СрЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приёмки.
- СрЗИ, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях установленных законодательством РФ, а также в случае принятия решения субъектом КИИ.
- В иных случаях применяются СрЗИ, прошедшие оценку соответствия в форме испытаний или приёмки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации.
- 29.2. СрЗИ, оценка соответствия которых проводится в форме испытаний или приёмки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом «ж» пункта 10 настоящих Требований.
- Не встроенные в общесистемное и прикладное ПО СрЗИ, оценка соответствия которых проводится в форме испытаний или приёмки, дополнительно к указанным требованиям должны соответствовать шестому или более высокому уровню доверия.
- Испытания (приёмка) СрЗИ на соответствие требованиям к уровню доверия и к функциям безопасности проводятся на этапе предварительных испытаний в соответствии с пунктом 12.4 настоящих Требований.
- Испытания (приёмка) проводятся отдельно или в составе ЗО. Программа и методики испытаний (приёмки) утверждаются субъектом КИИ в случае самостоятельного проведения испытаний. В случае проведения испытаний иным лицом программа и методики испытаний (приёмки) утверждаются этим лицом по согласованию с субъектом КИИ.
- По результатам испытаний (приёмки) СрЗИ оформляется протокол испытаний, в котором указываются:
- описание испытываемого СрЗИ;
- описание проведённых испытаний;
- результаты испытаний по каждому испытываемому параметру (характеристике);
- выводы о соответствии (несоответствии) СрЗИ требованиям по безопасности информации.
- Протокол испытаний утверждается субъектом КИИ в случае самостоятельного проведения испытаний. В ином случае протокол утверждается лицом проводившим испытания и представляется субъекту КИИ на этапе приёмочных испытаний для принятия решения о возможности применения СрЗИ в ЗО.
- Испытания (приёмка), предусмотренные настоящим пунктом, проводятся в отношении СрЗИ, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов.
С одной стороны, налицо послабление: по решению субъекта КИИ разрешается использовать не только сертифицированные СрЗИ, но и те, что прошли оценку в форме испытаний или приёмки. Но с другой стороны, такая оценка обязательно должна включать в себя в том числе оценку на соответствие требований по шестому или более высокому уровню доверия.
Вот тут и стоит обратиться к приказу ФСТЭК России № 76, определяющему требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, согласно которому для соответствия хотя бы шестому уровню доверия необходимо выполнить всё перечисленное далее (процитированы только требования непосредственно для шестого класса).
- 1. Требования к разработке и производству средства:
- 1.2. Требования к проектированию архитектуры безопасности средства.
- 1.3. Требования к разработке функциональной спецификации средства.
- 1.4. Требования к проектированию средства.
- 1.5. Требования к разработке проектной (программной) документации.
- 1.6. Требования к средствам разработки, применяемым для создания средства.
- 1.7. Требования к управлению конфигурацией средства.
- 1.8. Требования к разработке документации по безопасной разработке средства.
- 1.9. Требования к разработке эксплуатационной документации.
- 2. Требования к проведению испытаний средства:
- 2.1. Требования к тестированию средства.
- 2.2. Требования к испытаниям по выявлению уязвимостей и недекларированных возможностей средства.
- 3. Требования к поддержке безопасности средства:
- 3.1. Требования к устранению недостатков средства.
- 3.2. Требования к обновлению средства.
- 3.3. Требования к документированию процедур устранения недостатков и обновления средства.
- 3.4. Требования к информированию об окончании производства и (или) поддержки безопасности средства.
Частично они перекликаются с требованиями пункта 29.3 приказа № 239, но в целом они гораздо объёмнее и ещё более сложны (честно скажем, невозможны) без участия непосредственного разработчика. Строго говоря, если это не какой-то единичный уникальный случай, весьма вероятно, что разработчику будет проще выполнить сертификацию своего ПО, чем пытаться для каждой конкретной системы разработать такой объёмный пакет документов и реализовать все требуемые процедуры. Наверное, при желании можно найти исполнителей, чтобы «нарисовать правильные документы», за которыми не будет в реальности почти ничего стоять, но стоит ли идти на такой вариант — вопрос из зоны ответственности самого субъекта КИИ.
Выводы
Все нынешние законодательные требования, как уже действующие, так и вступающие в силу в ближайшие годы, ненавязчиво намекают на то, что в ЗО КИИ проще всего применять отечественные ПО и доверенные ПАК, а средства защиты выбирать из реестра сертифицированных по требованиям ФСТЭК России. Определённое пространство для манёвра у владельцев ЗО КИИ пока ещё остаётся (особенно если они не осуществляют закупок по 223-ФЗ), но представляется целесообразным искать альтернативы только в тех случаях, когда есть существенные технические (как вариант — бюджетные) ограничения.
Стратегия полного либо частичного игнорирования запретов тоже имеет право на жизнь, особенно в условиях, когда за нарушение большинства требований не установлено непосредственной ответственности, но, как и в случае с общими требованиями к КИИ, представляется, что это всё временно.
Напомним, что хотя Федеральный закон № 187-ФЗ «О безопасности КИИ» вступил в силу ещё с 01 января 2018 года, ответственность (административная в виде штрафов максимум до 200 тыс. рублей для юрлиц) за нарушение требований в области обеспечения безопасности КИИ РФ и за непредставление сведений, предусмотренных законодательством в этой области, была установлена только три с лишним года спустя Федеральным законом № 141-ФЗ от 26.05.2021 «О внесении изменения в КоАП РФ».
Вполне возможно, что ответственность за нарушение требований Указов Президента РФ № 166 и № 250 и Постановлений Правительства РФ № 1478 и № 1972 может появиться гораздо раньше, чем через три года.