Замена зарубежных ПАК – сроки перехода для субъектов КИИ

Замена зарубежных ПАК – сроки перехода для субъектов КИИ


Импортозамещение или технологический суверенитет обозначен как одно из ключевых направлений обеспечения информационной безопасности, в особенности, когда речь идет об значимых объектах КИИ.

Нормативно-правовая база, определяющая порядок реализации импортозамещения компонентов КИИ, уже разработана, и субъектам КИИ остается только сосредоточиться на исполнении законодательных требований.

В число ключевых элементов реализации стратегии импортозамещения входит внедрение доверенных программно-аппаратных комплексов (далее — ПАК), то есть которые внесены в реестр российской радиоэлектронной продукции, а используемое в их составе ПО включено в реестры российского ПО. Кроме того, если комплекс предназначен для ИБ, то он должен быть сертифицирован во ФСТЭК России или ФСБ России.

Проблемы с переходом на отечественные средства

При переходе на отечественные ПО и оборудование субъекты КИИ уже столкнулись с рядом проблем, затрудняющих импортозамещение:

1. Дефицит / отсутствие прикладного ПО, работающего с отечественными ОС.

2. Длительность внедрения АСУ

Проектирование, внедрение, опытно-промышленная и промышленная эксплуатация — стандартные этапы внедрения АСУ. Когда речь идет о замене зарубежных решений на российские разработки дополнительно требуется предварительно протестировать внедряемый аналог, апробировать его на предмет соответствия требованиям безопасности, надежности, функциональности (то есть реализовать «пилотный проект»). На практике на все эти стадии уходит несколько лет.

3. Непрерывность производства.

Как правило, объекты КИИ, нуждающиеся в замене компонентов — это АСУ (автоматизированные системы управления). Таким образом, для реализации планов по импортозамещению систему, которая управляется АСУ, необходимо на время вывести из производственного / технологического процесса. Если заменить ПАК нужно полностью, то процесс будет длительным, и его реализация окажется возможной только в «технологическое окно». Такие «плановые приостановки» предусматриваются, например, раз в год, а значит, быстро заменить все компоненты просто не получится.

4. Ограниченность ресурсов.

Дефицит бюджета, недостаточная штатная численность персонала, проблема с квалификацией имеющихся специалистов. Для сотрудников конкретного субъекта КИИ отечественные решения, внедряемые как замена иностранных аналогов, обычно оказываются новыми и незнакомыми, и возникает проблема недостаточности навыков и опыта работы с конкретным программным обеспечением или оборудованием.

Тем не менее, несмотря на очевидные трудности, выполнять требования НПА в части импортозамещения придется, и внимание контролирующих органов к субъектам КИИ будет особенно пристальным.

Правила перехода на отечественные ПАК

В начале сентября 2024 года вступили в действие правила, регламентирующие постепенный переход субъектов КИИ на ПАК. Правила утверждены в рамках опубликованного ранее постановления Правительства №1912.
Основные положения документа:

1. Ряд уполномоченных федеральных органов и юридических лиц вошли в перечень ответственных за переход на доверенные ПАК. Они обязаны организовать разработку планов и выполнение соответствующих мероприятий субъектами КИИ по закрепленным отраслям. Согласно требованиям постановления они должны были составить отраслевые планы перехода до 01.09.2024 г. Планы рассылаются субъектам, работающим в отрасли, контролируемой / регулируемой / относящейся к ведению органа или лица-разработчика в течение двадцати дней с даты утверждения.

2. Организации, являющиеся непосредственными владельцами ЗО КИИ, обязаны разработать планы перехода на доверенные ПАК не позднее 01.01.2025 г. и в течение 10 рабочих дней с даты утверждения направить их отраслевому уполномоченному органу. Если объекты ЗО КИИ появились в собственности организации после 01.09.2024 года, то на разработку плана перехода дается 4 месяца с даты получения уведомления от ФСТЭК.

3. Субъекты КИИ не вправе использовать ПАК, не относящиеся к категории доверенных. Запрет вступил в силу 01.09.2024 г. Исключение составляют следующие случаи:
  • ПАК был приобретен до 01.09.2024 года;
  • среди ПАК российского производства отсутствуют аналоги приобретенного недоверенного ПАК. В этом случае подтвердить отсутствие аналога можно, предоставив соответствующее заключение Минпромторга РФ.


Помимо использования зарубежного софта субъекты КИИ активно эксплуатируют также оборудование иностранного производства, как правило, технологически взаимосвязанное с программными решениями. При этом на рынке нет полноценной отечественной замены всем используемым в различных отраслях российской экономики типам оборудования. Этот нюанс также создает дополнительные — труднопреодолимые — сложности, когда речь заходит о полноценной реализации стратегии импортозамещения непосредственно субъектами КИИ.

Операторы КИИ смогут использовать зарубежные ПАК только в 2 случаях:

  • если они были приобретены до 01.09.2024 года;
  • если они не имеют отечественные аналоги, что подтверждает заключение Минпромторга.


Постановление предполагает, что замена оборудования и софта иностранного производства на российские будет постепенной, поэтому правила перехода будут действовать в течение шести лет. Планируется, что доля доверенных ПАК, используемых на ЗО КИИ, достигнет 100% к концу 2029 года. Насколько реализуемы эти планы — покажет время.

КИИ
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.