Разъяснения к Указу Президента о запрете зарубежного ПО в КИИ (№ 166 от 30.03.2022)

Разъяснения к Указу Президента о запрете зарубежного ПО в КИИ (№ 166 от 30.03.2022)

Разъяснения к Указу Президента о запрете зарубежного ПО в КИИ (№ 166 от 30.03.2022)

Тема импортозамещения актуальна уже давно. Ещё 01.04.2015 был издан приказ Минкомсвязи России № 96, утверждавший план импортозамещения программного обеспечения. А совсем недавно, 30 марта 2022 года, президент России Владимир Путин подписал указ, запрещающий закупать иностранный софт для критической информационной инфраструктуры (КИИ). Проанализируем этот документ и разъясним, что изменится для страны.

Импортозамещение в критической информационной инфраструктуре также обсуждается не первый год: ещё в мае 2020 года были опубликованы проекты нормативных правовых актов (проект указа Президента, проект постановления Правительства, далее — проекты документов), обязывающих всех субъектов КИИ перейти на отечественное ПО и оборудование, а затем доработанные проекты были опубликованы в октябре 2020 года и феврале 2021 года.

Субъектами КИИ признаются организации, осуществляющие деятельность в сферах, которые установлены Федеральным законом от 26.07.2017 № 187-ФЗ (в частности, металлургическая промышленность, здравоохранение, оборонная промышленность и пр. – всего 13 сфер), имеющие информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети).

Однако проекты документов остались непринятыми, так как получили отрицательное заключение Минэкономразвития по результатам оценки регулирующего воздействия.

В дальнейшем у федеральных органов сформировалась позиция в части импортозамещения, заключающаяся в том, что необходимо регулировать переход на отечественное ПО и оборудование не подзаконным актом, а отдельным федеральным законом. Проект федерального закона опубликован не был. Кроме провозглашения в июле 2021 года приоритетного использования отечественных информационных технологий и оборудования в Стратегии национальной безопасности (п. 57, пп. 13), иных документов в части импортозамещения не было, нормотворческая деятельность по вопросу импортозамещения во второй половине 2021 года затормозилась.

Отметим, что для сертификации средств защиты информации ещё в 2020 году приказом ФСТЭК России от 02.06.2020 № 76 (п.12.2) была установлена обязанность реализовать аппаратные средства на базе российских решений. Пункт 12.2 вступил в силу с 01.01.2022, теперь те решения, которые реализованы на импортной аппаратной платформе, не могут быть сертифицированы.

В связи со сложившейся геополитической обстановкой сейчас многие организации так или иначе столкнулись с вынужденным импортозамещением: некоторые иностранные решения, применяемые в России, перестали полноценно функционировать, продлить подписки на иностранное ПО не получается, с обновлениями также возникают проблемы. Например, компания VMware приостановила все продажи, поддержки и сервисы в России, отозвала учётные записи пользователей техподдержки. Компания Microsoft объявила о приостановке продаж новых продуктов в России, действующие подписки ещё работают, но возникают трудности с оплатой новых продуктов. Также компания SAP сообщила о приостановке деятельности и продаж в России, при этом техническая поддержка пользователей и обновления для имеющихся клиентов пока сохраняются. В связи с этим тема импортозамещения снова вышла на первое место.

30.03.2022 был официально опубликован Указ Президента Российской Федерации № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее — Указ), о чём мы писали на Anti-Malware.ru.

С учётом упомянутых выше проектов документов 2020 и 2021 годов по импортозамещению, принятие нового Указа не стало сюрпризом. Субъекты КИИ с мая 2020 года ожидали утверждённого нормативного акта, регулирующего переход на отечественное ПО и оборудование. Следует также отдельно обратить внимание, что предыдущие проекты документов распространяли своё действие на всех субъектов КИИ вне зависимости от наличия у них значимых объектов КИИ. По результатам оценки регулирующего воздействия Минэкономразвития в своём отрицательном заключении дало рекомендации, в частности, по распространению сферы действия проектов документов только на значимые объекты КИИ.

Подробнее о предыдущих проектах документов в части импортозамещения можно почитать в обзорах изменений законодательства, публикуемых компанией УЦСБ (обзоры: май 2020 года, февраль 2021 года, апрель 2021 года).

Под действие Указа попадают практически все субъекты КИИ, которые осуществляют закупки по Федеральному закону от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее — 223-ФЗ) для принадлежащих им значимых объектов КИИ. К таким организациям относятся компании с государственным участием, например «Роскосмос», «Ростех», «Роснано», «Газпром», «Роснефть», РЖД и пр., также 223-ФЗ распространяется на некоторые другие типы организаций, например на бюджетные учреждения (больницы, вузы, подведомственные учреждения органов власти и пр.). Исчерпывающий перечень организаций определён в ст.1 223-ФЗ, для них введён термин «заказчики» (далее мы тоже будем называть их так).

Следует заметить, что принятый Указ учитывает заключение Минэкономразвития по предыдущим непринятым документам, то есть распространяет своё действие не на всех субъектов КИИ, а только на часть из них — на тех, кто выступает заказчиками в закупках по 223-ФЗ. Кроме того, Указ распространяется только на значимые объекты КИИ.

Значимый объект КИИ — тот, которому присвоена одна из категорий значимости (всего их три, самая высокая — первая). Объекты КИИ признаются значимыми или незначимыми комиссией самих организаций — субъектов КИИ. Категорирование обязаны провести все субъекты КИИ, процедура определена постановлением Правительства от 08.02.2018 № 127. Документы установленной формы подлежат отправке во ФСТЭК России по каждому объекту КИИ, подлежащему категорированию. ФСТЭК России ведёт реестр всех значимых объектов КИИ.

Что означает принятие Указа для заказчиков по 223-ФЗ? Уже со вчерашнего дня заказчики не могут проводить закупку иностранного оборудования и ПО для использования их на значимых объектах КИИ без согласования с уполномоченным органом власти, который будет определён Правительством РФ в течение месяца, как и правила согласования таких закупок. Например, сейчас компания «Газпром» (в том числе её дочерние общества) или государственная больница фактически не имеют возможности легитимно закупать иностранное оборудование для их установки в значимых объектах КИИ, и это касается любого оборудования — серверов, принтеров, межсетевых экранов. Однако для закупки этого же оборудования в целях их использования на незначимых объектах КИИ, например в системе электронной почты или документооборота, такого запрета нет.

Указ также распространяет запрет на закупку услуг, необходимых для использования иностранного ПО на значимых объектах КИИ заказчиков, то есть услуги по установке ранее закупленного иностранного ПО или техническому обслуживанию имеющегося у заказчиков иностранного оборудования на значимых объектах КИИ без соблюдения процедуры согласования теперь также не удастся закупить.

В дополнение к этому, с 1 января 2025 г. органам государственной власти и заказчикам запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ. Таким образом, у указанных организаций есть менее трёх лет для формирования планов по импортозамещению на значимых объектах КИИ.

Можно ли теперь закупать иностранное ПО и оборудование, необходимое заказчикам? Если предполагается закупка ПО и оборудования, необходимого для установки на значимых объектах КИИ, то такая закупка сейчас нелегитимна. Мы рекомендуем дождаться утверждения Правительством РФ правил согласования таких закупок либо рассмотреть вопрос осуществления закупок в рамках положений иных законодательных актов (не по 223-ФЗ), если организации обладают таким правом. Если иностранное ПО и оборудование не планируется к установке на значимые объекты КИИ, то запреты по такой закупке Указом не установлены.

Явно отметим, что Указ на текущий момент не распространяется на:

  • иные субъекты КИИ, не осуществляющие закупки по 223-ФЗ;
  • незначимые объекты КИИ, принадлежащие субъектам КИИ.

Также отметим, что в соответствии с Указом Правительство РФ в течение полугода должно реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения всеми субъектами КИИ отечественной продукции на значимых объектах КИИ. В связи с этим субъектам КИИ необходимо иметь в виду курс на импортозамещение: если планируются закупки ПО или оборудования для значимых объектов КИИ, то уже сейчас рекомендуем рассматривать приобретение отечественных решений. Отметим, что в текущих формулировках Указа термин «преимущественное применение» носит неопределённый характер. Предполагаем, что в дальнейшем нормативные акты Правительства РФ уточнят такую формулировку.

Таким образом, рассматриваемый Указ вводит ограничения исключительно на закупку иностранного ПО и оборудования, проводимую заказчиками по 223-ФЗ, в целях использования иностранной продукции на значимых объектах КИИ. В течение месяца ожидаем выхода новых нормативных актов Правительства РФ, разъясняющих правила согласования таких закупок. Также в ближайшие полгода Правительство РФ должно разработать дополнительные нормативные правовые акты в части импортозамещения на значимых объектах всех субъектов КИИ, а не только компаний с госучастием.

Авторы:

Диана Лейчук, руководитель направления Аналитического центра УЦСБ.

Татьяна Душенева, ведущий специалист по защите информации, УЦСБ.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru