Запрет иностранных решений в КИИ: как обстоят дела в реальности

Запрет иностранных решений в КИИ: как обстоят дела в реальности

Запрет иностранных решений в КИИ: как обстоят дела в реальности

Рассмотрим, какие нормативные правовые акты реально регулируют применение иностранных решений в КИИ, какие действуют ограничения и запреты, где всё ещё могут быть использованы альтернативные варианты.

 

 

 

 

 

 

 

  1. Введение
  2. Основные нормативные правовые акты
  3. Указ Президента РФ № 166
  4. Указ Президента РФ № 250
  5. Постановление Правительства РФ № 1478
  6. Постановление Правительства РФ № 1912
  7. Таблица запретов
  8. Приказы ФСТЭК России № 239 и № 76
  9. Выводы

Введение

Законодательство в области защиты критической информационной инфраструктуры (КИИ) содержит немало требований и запретов, разобраться в которых порой бывает не так просто в силу обилия нормативных правовых актов и специфики их юридического языка.

В этой статье рассмотрен один из «классов» действующих ограничений, а именно запреты — явные и неявные — на использование иностранных решений на объектах критической информационной инфраструктуры. Забегая вперёд, стоит отметить, что тезис о полном запрете в КИИ всего, что не является отечественным, неверен.

Основные нормативные правовые акты

Законодательное регулирование в сфере импортозамещения начало активно формироваться ещё в 2014 году как ответ на санкции, введённые против Российской Федерации (РФ) по следам хорошо известных всем событий того года.

С тех пор было принято немало законов, постановлений, распоряжений, приказов и иных нормативных правовых актов (НПА) об импортозамещении, ранее принятые акты неоднократно изменялись, а счёт статьям и комментариям в отраслевых изданиях, полагаю, уже давно идёт на сотни, если не на тысячи. Однако все устанавливаемые и разъясняемые этими документами запреты не являются предметом данной статьи, хотя если субъект КИИ осуществляет свои закупки для обеспечения государственных и муниципальных нужд, то помимо рассмотренных ниже ограничений ему необходимо учесть и положения Постановления Правительства РФ № 1236 от 16.11.2015 «Об установлении запрета на допуск ПО, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» и всех связанных НПА.

Среди НПА, ограничивающих применение иностранных решений и непосредственно относящихся именно к субъектам КИИ, стоит выделить следующие.

  1. НПА с прямыми запретами и ограничениями:
    • Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»;
    • Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
    • Постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»;
    • Постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».
  2. НПА с косвенными запретами и ограничениями:
    • Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
    • Приказ ФСТЭК России от 02.06.2020 № 76 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».

Далее каждый из упомянутых НПА будет рассмотрен подробнее.

Указ Президента РФ № 166

Этот указ содержит всего три пункта. В первом устанавливаются два запрета:

а) с 31 марта 2022 года всем организациям (за исключением организаций с муниципальным участием), осуществляющим закупки в соответствии с Федеральным законом № 223-ФЗ (далее в указе именуются заказчиками), закупать для использования на значимых объектах (ЗО) КИИ без согласования с уполномоченным федеральным органом исполнительной власти (ФОИВ) или Центральным банком Российской Федерации (Банком России):

  • иностранное программное обеспечение (ПО), в том числе в составе программно-аппаратных комплексов (ПАК);
  • услуги необходимые для использования иностранного ПО (в том числе в составе ПАК);

б) с 1 января 2025 года органам государственной власти и всем заказчикам на ЗО КИИ:

  • использовать иностранное ПО, в том числе в составе ПАК.

Упоминание Банка России в подпункте «а» было добавлено совсем недавно — Указом Президента РФ от 30 марта 2022 г. № 166. Остальные ФОИВ определены Постановлением Правительства РФ № 1478, о котором речь пойдёт ниже.

Формально в подпункте «б» написано, что запрещено «иностранное программное обеспечение», но поскольку выше термин «программное обеспечение» был расширительно переопределён со включением в его состав в том числе ПО в составе ПАК, корректно именно так его и трактовать. Далее по тексту для упрощения восприятия тоже будем использовать просто «ПО», подразумевая «в том числе в составе ПАК».

Важно ещё, что в подпункте «б» нет оговорки про возможность отдельного согласования с уполномоченным ФОИВ или Банком России — просто полный запрет без вариантов.

Второй пункт Указа № 166 определяет ряд поручений Правительству РФ:

а) утвердить:

  • а.1)* требования к ПО, используемому органами госвласти и заказчиками, на ЗО КИИ;
  • а.2) правила согласования закупок иностранного ПО и услуг, необходимых для его использования, на ЗО КИИ;

б) реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения субъектами КИИ отечественных радиоэлектронной продукции и телекоммуникационного оборудования на принадлежащих им ЗО КИИ, в том числе:

  • б.1) определить сроки и порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗО КИИ;
  • б.2) обеспечить внесение в законодательство РФ изменений в соответствии с настоящим Указом;
  • б.3) обеспечить создание и организацию деятельности научно-производственного объединения (НПО), специализирующегося на разработке, производстве, технической поддержке и сервисном обслуживании (ТП и СО) доверенных ПАК для КИИ;
  • б.4) организовать подготовку и переподготовку кадров в сфере разработки, производства, ТП и СО радиоэлектронной продукции и телекоммуникационного оборудования;
  • б.5) создать систему мониторинга и контроля в названной сфере;

в) обеспечить контроль:

  • в.1) за соблюдением заказчиками правил, утверждённых в соответствии с подпунктом «а» настоящего пункта (речь о правилах согласования закупок);
  • в.2) за выполнением органами госвласти, заказчиками запрета, установленного подпунктом «б» пункта 1 настоящего Указа (речь о запрете на использование иностранного ПО).

* В оригинале нет нумерации — «а.1» и т. д.; она добавлена автором для удобства отсылок.

Подпункт «а.2» поручает Правительству определить правила согласования закупок, о которых речь шла в подпункте «а» пункта 1, а вот подпункт «а.1» более интересен — он предполагает установление дополнительных требований к ПО, используемому на ЗО КИИ. Весь подпункт «а» пункта 2 выполнен Постановлением Правительства РФ № 1478, рассмотренным ниже.

По поводу подпункта «б» пункта 2 необходимо отметить, что в нём уже не идёт речи о заказчиках и органах госвласти — он относится к ЗО КИИ всех субъектов КИИ в целом. Этот подпункт выполнен Постановлением Правительства № 1912, детальное рассмотрение которого также приведено далее.

Наконец, финальный пункт 3 лишь определяет срок вступления указа в силу со дня его подписания — 30 марта 2022 года.

Указ Президента РФ № 250

Следующий указ тоже весьма короток, к тому же к рассматриваемой тематике запрета иностранных решений относится только пункт 6, но нам потребуется ещё определение термина «органы (организации)» из пункта 1, вот оно:

  • федеральные органы исполнительной власти;
  • высшие исполнительные органы государственной власти субъектов РФ;
  • государственные фонды;
  • государственные корпорации (компании) и иные организации, созданные на основании федеральных законов;
  • стратегические предприятия и акционерные общества (перечень утверждён Указом Президента РФ от 04.08.2004 № 1009 «Об утверждении перечня стратегических предприятий и стратегических акционерных обществ»);
  • системообразующие организации российской экономики;
  • юридические лица, являющиеся субъектами КИИ РФ.

Именно для такого перечня органов (организаций) и устанавливается запрет в том единственном пункте 6, который важен для обсуждаемой тематики:

  • Установить, что с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации (СрЗИ), странами происхождения которых являются иностранные государства, совершающие в отношении РФ, российских юрлиц и физлиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.

Важно отметить, что Указ № 250 в силу приведённого выше определения органов (организаций) распространяется в том числе на все юрлица, которые являются субъектами КИИ, а не только на те, которые осуществляют закупки по 223-ФЗ, как это было в Указе № 166. С другой стороны, и запрет, если так можно выразиться, гораздо мягче: запрещены только СрЗИ (а не вообще всё ПО) и только с происхождением из «недружественных» стран.

Сам перечень недружественных стран (точнее — иностранных государств и территорий, совершающих в отношении РФ, российских юрлиц и физлиц недружественные действия) был утверждён Распоряжением Правительства РФ № 430-р от 05.03.2022 и дважды в том же 2022 году уточнялся, так что в итоге сейчас содержит 22 наименования государств и территорий (не считая отдельно владения британской короны и британские заморские территории) и ещё 27 государств — членов Европейского Союза. Гарантировать, что этот список не будет в дальнейшем дополнительно расширен, нельзя, так что при выборе неотечественных СрЗИ надо данный риск учитывать.

Наконец, говоря об СрЗИ следует учесть, что в соответствии с пунктом 2.7.2 ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» под «средством защиты информации» понимается «техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации», а потому если встроенные возможности, например, операционной системы, сетевого устройства либо прикладного ПО используются для защиты информации (аутентификация пользователей, фильтрация сетевого графика и т. п.), то такое средство также следует рассматривать в качестве СрЗИ со всеми вытекающими из этого запретами.

Таким образом, вариантом подхода к использованию иностранного ПО на значимых объектах КИИ может быть отключение либо незадействование встроенных в него защитных функций с одновременным применением дополнительных наложенных либо внешних СрЗИ, не подпадающих под ограничение Указа № 166.

Постановление Правительства РФ № 1478

Во исполнение поручений из подпункта «а» пункта 2 Указа № 166 Правительство РФ своим Постановлением № 1478 установило для госорганов, заказчиков и их значимых объектов КИИ требования к используемому ПО, правила согласования закупок иностранного ПО и правила перехода на преимущественное использование российского ПО.

Требований к используемому ПО установлено всего два:

  1. Всё ПО (напомним, что в том числе и в составе программно-аппаратных комплексов) должно быть включено в единый реестр российских программ для электронных вычислительных машин (ЭВМ) и баз данных (БД) или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза, за исключением Российской Федерации.
  2. ПО, предназначенное для обеспечения безопасности значимых объектов КИИ РФ, а также для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах на объектах КИИ РФ, должно соответствовать:
    • требованиям из п. 1;
    • требованиям установленным ФСТЭК и (или) ФСБ России, что должно быть подтверждено соответствующим документом (сертификатом).

Проще говоря, ПО должно быть включено в реестр отечественных программ, а если оно является СрЗИ, то дополнительно иметь сертификат ФСТЭК / ФСБ России.

Правила согласования закупок иностранного ПО устанавливают заявительный характер такого согласования: заявка с установленным содержимым направляется в уполномоченный ФОИВ (их список утверждён пунктом 2 этого же постановления) либо в Банк России (для кредитных и некредитных финансовых организаций) и рассматривается в установленном порядке.

Подробнее описывать эти правила в контексте рассматриваемого вопроса о запретах смысла нет, как и детально разбирать правила перехода на преимущественное использование российского ПО. Стоит только отметить, что правила перехода определяют разработку уполномоченными ФОИВ отраслевых планов, а каждый из заказчиков разрабатывает свой собственный план, но в любом случае все эти планы должны предусматривать завершение перехода к 1 января 2025 года.

Пункт 2 Постановления Правительства РФ № 1478 помимо определения уполномоченных ФОИВ (Минздрав, Минобрнауки, Минтранс, Минцифры, Минэнерго, Минпромторг) дополнительно:

б) позволяет уполномоченным ФОИВ и Банку России привлекать отраслевые центры компетенций по импортозамещению ПО;

в) определяет, что Минцифры осуществляет контроль за соблюдением заказчиками (кроме кредитных и некредитных финансовых организаций) правил согласования закупок иностранного ПО и за соблюдением запрета на использование иностранного ПО;

г) определяет, что Банк России осуществляет контроль и мониторинг соблюдения заказчиками — кредитными и некредитными финансовыми организациями правил согласования закупок иностранного ПО, а также планов мероприятий по переходу.

Пункт 3 позволяет Минцифры для осуществления функций контроля из подпункта «в» пункта 2 привлекать экспертные организации.

Пункт 4 поручает Минцифры по согласованию с ФСТЭК и ФСБ России утвердить методические рекомендации по переходу на использование российского ПО, в том числе на значимых объектах КИИ РФ. Это поручение было выполнено выпуском приказа Минцифры России № 21 от 18.01.2023 «Об утверждении Методических рекомендаций по переходу на использование российского ПО, в том числе на ЗО КИИ РФ, и о реализации мер, направленных на ускоренный переход органов госвласти и организаций на использование российского ПО в РФ».

Наконец, пункт 5 определяет, что постановление вступает в силу со дня его официального опубликования — с 26 августа 2022 года.

Постановление Правительства РФ № 1912

Второе Постановление Правительства РФ во исполнение поручений из Указа № 166, а конкретнее — подпункта «б» пункта 2, определяет порядок перехода на доверенные ПАК.

Стоит ещё раз подчеркнуть, что и в упомянутом подпункте «б» пункта 2 Указа № 166, и в самом Постановлении № 1912 речь идёт о ЗО КИИ всех субъектов КИИ, а не только органов госвласти и заказчиков.

Основные сроки в Постановлении № 1912 — следующие:

  • переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им ЗО КИИ осуществляется до 1 января 2030 года;
  • с 1 сентября 2024 года на ЗО КИИ не допускается использование ПАК, приобретённых субъектами КИИ с 1 сентября 2024 года и не являющихся доверенными, за исключением случаев отсутствия произведённых в РФ доверенных аналогов, при этом подтверждением отсутствия доверенных аналогов являются заключения Минпромторга (выданные в соответствии с правилами, утверждёнными Постановлением Правительства РФ от 20 сентября 2017 г. № 1135);
  • до 1 сентября 2024 года уполномоченным органам (Минздрав, Минобрнауки, Минтранс, Минцифры, Минэнерго, Минпромторг, Минфин, Росреестр, Росатом, Роскосмос, Банк России) определить должностное лицо (не ниже замруководителя), ответственное за организацию перехода, и утвердить планы организации перехода субъектов КИИ РФ на преимущественное применение доверенных ПАК на ЗО КИИ в соответствующих сферах (областях) деятельности.

В сухом остатке — свободно покупать недоверенные ПАК для использования на ЗО КИИ можно только до 1 сентября этого года, далее потребуется озаботиться заключением Минпромторга об отсутствии аналогов, а вот использовать такие ПАК можно и позже.

Пара важных определений из правил перехода:

  • Программно-аппаратный комплекс (ПАК) — радиоэлектронная продукция, в том числе телекоммуникационное оборудование, программное обеспечение и технические средства, работающие совместно для выполнения одной или нескольких сходных задач.
  • Доверенный ПАК — ПАК, который соответствует одновременно всем критериям признания доверенным программно-аппаратным комплексом, а именно:
    • 1. Сведения о ПАК содержатся в едином реестре российской радиоэлектронной продукции.
    • 2. ПО, используемое в составе ПАК, соответствует требованиям к ПО, утверждённым Постановлением Правительства РФ от 22 августа 2022 года № 1478 (т. е. должно быть включено в единый реестр российских программ или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза).
    • 3. ПАК в случае реализации в нём функции защиты информации соответствует требованиям установленным ФСТЭК и (или) ФСБ России, что должно быть подтверждено соответствующим документом (сертификатом).

Сам порядок разработки и актуализации планов перехода (они будут отраслевыми, и у каждого субъекта КИИ — свой собственный) подробно рассматривать не станем. Отраслевые планы перехода будут документами «Для служебного пользования» или даже с грифом секретности, с 2026 года будут ежегодно обновляться до 1 мая соответствующего года и направляться адресно субъектам КИИ. Субъекты КИИ ежегодно до 1 марта, начиная с 2026 года, должны будут отчитываться о ходе реализации планов перехода.

Все планы должны предусматривать целевое значение доли доверенных ПАК в общем количестве ПАК на ЗО КИИ по состоянию на 31 декабря 2029 года не менее 100 %.

Таблица запретов

Таблица 1. Сводный перечень запретов со сроками и пояснениями о предметах запрета и областях их действия

Документ

Срок

Область действия

Предмет запрета

Суть запрета

Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» (пункт 1, подпункт «а»)

С 31 марта 2022 года

Все организации, осуществляющие закупки в соответствии с Федеральным законом от 18.07.2011 № 223-Ф3 «О закупках…» (за исключением организаций с муниципальным участием)

ПО, в том числе в составе ПАК, для использования на ЗО КИИ, а также услуги, необходимые для использования ПО (и ПАК)

Запрет на закупки иностранных решений без согласования с ФОИВ, уполномоченным Правительством РФ

Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» (пункт 1, подпункт «б»)

С 01 января 2025 года

Все организации, осуществляющие закупки в соответствии с Федеральным законом от 18.07.2011 № 223-Ф3 «О закупках…» (за исключением организаций с муниципальным участием), и органы госвласти

ПО, в том числе в составе ПАК, для ЗО КИИ

Запрет на использование иностранного ПО

Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению ИБ РФ» (пункт «6»)

С 01 января 2025 года

Органы (организации), являющиеся субъектами КИИ

Средства защиты информации

Запрет на использование СрЗИ, странами происхождения которых являются недружественные иностранные государства

Постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к ПО, Правил согласования закупок иностранного ПО и услуг…» (требования к ПО, пункт 1)

С 01 января 2025 года

Все организации, осуществляющие закупки в соответствии с Федеральным законом от 18.07.2011 № 223-Ф3 «О закупках…» (за исключением организаций с муниципальным участием), и органы госвласти

ПО, в том числе в составе ПАК, для ЗО КИИ

Должно быть включено в единый реестр российских программ для ЭВМ и БД или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза

Постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к ПО, Правил согласования закупок иностранного ПО и услуг…» (требования к ПО, пункт 2)

С 01 января 2025 года

Все организации, осуществляющие закупки в соответствии с Федеральным законом от 18.07.2011 № 223-Ф3 «О закупках…» (за исключением организаций с муниципальным участием), и органы госвласти

ПО для обеспечения безопасности ЗО КИИ, для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах

Должно быть включено в единый реестр российских программ для ЭВМ и БД или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза, за исключением РФ. Дополнительно — соответствовать требованиям ФСТЭК и (или) ФСБ России (иметь сертификат)

Постановление Правительства РФ № 1912 «О порядке перехода субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им ЗО КИИ РФ»

С 01 сентября 2024 года — закупки (без отдельного заключения Минпромторга об отсутствии аналогов); с 01 января 2030 года — использование

Все субъекты КИИ

ПАК для ЗО КИИ

ПАК должен быть включён в единый реестр российской радиоэлектронной продукции. ПО в составе ПАК должно быть включено в единый реестр российских программ для ЭВМ и БД или в единый реестр программ для ЭВМ и БД из государств — членов Евразийского экономического союза, за исключением РФ. Дополнительно ПО для защиты информации должно соответствовать требованиям ФСТЭК и (или) ФСБ России (иметь сертификат)

 

Приказы ФСТЭК России № 239 и № 76

Наконец, рассмотрим самые характерные косвенные запреты иностранных решений в действующей системе нормативных правовых актов.

Согласно пункту 31 приказа ФСТЭК России № 239, применяемые в ЗО программные и программно-аппаратные средства, в том числе СрЗИ, должны быть обеспечены гарантийной и (или) технической поддержкой. Это требование не так просто выполнить для тех ПО и ПАК, производители которых прекратили деятельность на территории Российской Федерации, но тем не менее опыт (в том числе общения с регулятором) показывает, что гарантийная и техническая поддержка не обязательно должна обеспечиваться именно производителем: вполне возможно обойтись собственными силами, при наличии квалифицированного персонала, либо же воспользоваться услугами сторонних организаций. Стоит отметить, что, в частности, проверенные обновления для широко распространённого ПО ФСТЭК России публикует на своём портале.

Понятно, что если нет готовности осуществлять поддержку самостоятельно либо искать надёжного подрядчика, более целесообразно перейти на ПО / ПАК с официальной поддержкой от производителя — отечественного либо продолжающего работать на территории РФ.

Более сложные требования выдвигают другие пункты приказа ФСТЭК России № 239:

  • 29.3. Прикладное ПО, планируемое к внедрению в рамках создания (модернизации или реконструкции, ремонта) ЗО и обеспечивающее выполнение его функций по назначению, должно соответствовать следующим требованиям по безопасности:
  • 29.3.1. Требования по безопасной разработке ПО:
    • наличие руководства по безопасной разработке ПО, проведение анализа угроз безопасности информации ПО;
    • наличие описания структуры ПО на уровне подсистем и результатов сопоставления функций ПО и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для ПО, планируемого к применению в ЗО 1-й категории значимости).
  • 29.3.2. Требования к испытаниям по выявлению уязвимостей в ПО:
    • проведение статического анализа исходного кода программы;
    • проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;
    • проведение динамического анализа кода программы (для ПО, планируемого к применению в ЗО 1-й категории значимости).
  • 29.3.3. Требования к поддержке безопасности ПО:
    • наличие процедур отслеживания и исправления обнаруженных ошибок и уязвимостей ПО;
    • определение способов и сроков доведения разработчиком (производителем) ПО до его пользователей информации об уязвимостях ПО, о компенсирующих мерах по защите информации или ограничениях по применению ПО, способов получения пользователями ПО его обновлений, проверки их целостности и подлинности;
    • наличие процедур информирования субъекта КИИ об окончании производства и (или) поддержки ПО (для ПО, планируемого к применению в ЗО 1-й категории значимости).
  • 29.4. Выполнение требований по безопасности, указанных в подпунктах 1–3 пункта 29.3 настоящих Требований, оценивается лицом выполняющим работы по созданию (модернизации, реконструкции или ремонту) ЗО и (или) обеспечению его безопасности на этапе проектирования ЗО на основе результатов анализа материалов и документов, представляемых разработчиком (производителем) ПО в соответствии с техническим заданием (частным техническим заданием), разрабатываемым в соответствии с пунктом 10 настоящих Требований.
  • Результаты оценки включаются в проектную документацию на ЗО (подсистему безопасности ЗО) и представляются субъекту КИИ.

Эти требования, вступившие в силу с 01 января 2023 года, без участия разработчика выполнить крайне затруднительно, если не сказать невозможно. Распространяются они, правда, только на создаваемые и модернизируемые ЗО, но серьёзно ограничивают применение ПО в том числе и из вполне дружественных стран, ведь даже далеко не все отечественные производители успели озаботиться реализацией нужных регламентов и процедур.

Наконец, финальное требование из приказа ФСТЭК России № 239, которое есть смысл рассмотреть с точки зрения косвенного запрета на иностранные решения, звучит так:

  • 28. Для обеспечения безопасности ЗО КИИ должны применяться СрЗИ, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приёмки.
    • СрЗИ, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях установленных законодательством РФ, а также в случае принятия решения субъектом КИИ.
    • В иных случаях применяются СрЗИ, прошедшие оценку соответствия в форме испытаний или приёмки, которые проводятся субъектами КИИ самостоятельно или с привлечением организаций имеющих в соответствии с законодательством РФ лицензии на деятельность в области защиты информации.
  • 29.2. СрЗИ, оценка соответствия которых проводится в форме испытаний или приёмки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом «ж» пункта 10 настоящих Требований.
    • Не встроенные в общесистемное и прикладное ПО СрЗИ, оценка соответствия которых проводится в форме испытаний или приёмки, дополнительно к указанным требованиям должны соответствовать шестому или более высокому уровню доверия.
    • Испытания (приёмка) СрЗИ на соответствие требованиям к уровню доверия и к функциям безопасности проводятся на этапе предварительных испытаний в соответствии с пунктом 12.4 настоящих Требований.
    • Испытания (приёмка) проводятся отдельно или в составе ЗО. Программа и методики испытаний (приёмки) утверждаются субъектом КИИ в случае самостоятельного проведения испытаний. В случае проведения испытаний иным лицом программа и методики испытаний (приёмки) утверждаются этим лицом по согласованию с субъектом КИИ.
    • По результатам испытаний (приёмки) СрЗИ оформляется протокол испытаний, в котором указываются:
      • описание испытываемого СрЗИ;
      • описание проведённых испытаний;
      • результаты испытаний по каждому испытываемому параметру (характеристике);
      • выводы о соответствии (несоответствии) СрЗИ требованиям по безопасности информации.
    • Протокол испытаний утверждается субъектом КИИ в случае самостоятельного проведения испытаний. В ином случае протокол утверждается лицом проводившим испытания и представляется субъекту КИИ на этапе приёмочных испытаний для принятия решения о возможности применения СрЗИ в ЗО.
    • Испытания (приёмка), предусмотренные настоящим пунктом, проводятся в отношении СрЗИ, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов.

С одной стороны, налицо послабление: по решению субъекта КИИ разрешается использовать не только сертифицированные СрЗИ, но и те, что прошли оценку в форме испытаний или приёмки. Но с другой стороны, такая оценка обязательно должна включать в себя в том числе оценку на соответствие требований по шестому или более высокому уровню доверия.

Вот тут и стоит обратиться к приказу ФСТЭК России № 76, определяющему требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, согласно которому для соответствия хотя бы шестому уровню доверия необходимо выполнить всё перечисленное далее (процитированы только требования непосредственно для шестого класса).

  • 1. Требования к разработке и производству средства:
    • 1.2. Требования к проектированию архитектуры безопасности средства.
    • 1.3. Требования к разработке функциональной спецификации средства.
    • 1.4. Требования к проектированию средства.
    • 1.5. Требования к разработке проектной (программной) документации.
    • 1.6. Требования к средствам разработки, применяемым для создания средства.
    • 1.7. Требования к управлению конфигурацией средства.
    • 1.8. Требования к разработке документации по безопасной разработке средства.
    • 1.9. Требования к разработке эксплуатационной документации.
  • 2. Требования к проведению испытаний средства:
    • 2.1. Требования к тестированию средства.
    • 2.2. Требования к испытаниям по выявлению уязвимостей и недекларированных возможностей средства.
  • 3. Требования к поддержке безопасности средства:
    • 3.1. Требования к устранению недостатков средства.
    • 3.2. Требования к обновлению средства.
    • 3.3. Требования к документированию процедур устранения недостатков и обновления средства.
    • 3.4. Требования к информированию об окончании производства и (или) поддержки безопасности средства.

Частично они перекликаются с требованиями пункта 29.3 приказа № 239, но в целом они гораздо объёмнее и ещё более сложны (честно скажем, невозможны) без участия непосредственного разработчика. Строго говоря, если это не какой-то единичный уникальный случай, весьма вероятно, что разработчику будет проще выполнить сертификацию своего ПО, чем пытаться для каждой конкретной системы разработать такой объёмный пакет документов и реализовать все требуемые процедуры. Наверное, при желании можно найти исполнителей, чтобы «нарисовать правильные документы», за которыми не будет в реальности почти ничего стоять, но стоит ли идти на такой вариант — вопрос из зоны ответственности самого субъекта КИИ.

Выводы

Все нынешние законодательные требования, как уже действующие, так и вступающие в силу в ближайшие годы, ненавязчиво намекают на то, что в ЗО КИИ проще всего применять отечественные ПО и доверенные ПАК, а средства защиты выбирать из реестра сертифицированных по требованиям ФСТЭК России. Определённое пространство для манёвра у владельцев ЗО КИИ пока ещё остаётся (особенно если они не осуществляют закупок по 223-ФЗ), но представляется целесообразным искать альтернативы только в тех случаях, когда есть существенные технические (как вариант — бюджетные) ограничения.

Стратегия полного либо частичного игнорирования запретов тоже имеет право на жизнь, особенно в условиях, когда за нарушение большинства требований не установлено непосредственной ответственности, но, как и в случае с общими требованиями к КИИ, представляется, что это всё временно.

Напомним, что хотя Федеральный закон № 187-ФЗ «О безопасности КИИ» вступил в силу ещё с 01 января 2018 года, ответственность (административная в виде штрафов максимум до 200 тыс. рублей для юрлиц) за нарушение требований в области обеспечения безопасности КИИ РФ и за непредставление сведений, предусмотренных законодательством в этой области, была установлена только три с лишним года спустя Федеральным законом № 141-ФЗ от 26.05.2021 «О внесении изменения в КоАП РФ».

Вполне возможно, что ответственность за нарушение требований Указов Президента РФ № 166 и № 250 и Постановлений Правительства РФ № 1478 и № 1972 может появиться гораздо раньше, чем через три года.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru