Безопасность КИИ остаётся основной темой, неразрывно связанной с технологической независимостью страны. Импортозамещение как один из способов реализации такой независимости прямо влияет на деятельность значительного числа организаций, на экономику нашей страны, безопасность критической информационной инфраструктуры в целом и каждого объекта КИИ в отдельности.
В этом году основной темой BIS Summit-2024 стала готовность организаций к выполнению указа Президента России №250 от 1 мая 2022 года, особенно последнего оставшегося пункта (номер 6) про запрет использовать с 1 января 2025 года средства защиты информации, странами происхождения которых являются «иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними. Запрет распространяется на федеральные органы исполнительной власти, высшие исполнительные органы государственной власти субъектов Российской Федерации, государственные фонды, государственные корпораций (компании) и иные организаций, созданные на основании федеральных законов, стратегические предприятия, стратегические акционерные общества и системообразующие организации российской экономики, юридические лица, являющиеся субъектами критической информационной инфраструктуры Российской Федерации», то есть, не побоюсь утверждать, на большую часть российских юридических лиц, по вкладу в экономику страны и/или влиянию на неё уж точно.
Мы провели опрос о значимости предложенной темы, о взглядах на развитие ситуации, связанной с выполнением Указа-250, завершив его 10 июня, а через два дня, 13 июня, все мы увидели новый указ Президента России №500 (Указ-500), вносящий изменения в Указ-250, и появилась возможность увидеть, действительно ли мы выбрали важную для нашей аудитории тему, и то, как вы, друзья и коллеги, оцениваете ситуацию.
Указ-500 касается двух направлений:
- аккредитованных центров, установления требований к ним, порядка аккредитации, контроля за их деятельностью,
- и дополнения того самого шестого пункта запретом пользоваться сервисами (работами, услугами) по обеспечению информационной безопасности, предоставляемыми (выполняемыми, оказываемыми) организациями из недружественных стран.
Итак, 1 января 2025 является критичной датой с точки зрения запрета на СЗИ из недружественных государств для органов власти и управления федерального и регионального уровней, практически всех крупнейших организаций страны, а также организаций, являющихся субъектами КИИ, то есть владеющих ИС, ИТКС, АСУ, которые функционируют в 14 сферах экономики плюс «обеспечивают взаимодействие указанных систем или сетей». Обратите внимание, здесь не говорится про владение именно значимыми объектами КИИ! То есть важно, чтобы система была признана объектом КИИ и даже если владелец обосновал отсутствие необходимости присвоить ей категорию значимости, то организация, став субъектом КИИ, всё равно попадает под Указ-250.
Но для полноты картины импортозамещения 1 января 2025 является критичной датой согласно еще одному указу Президента России — №166 от 30 марта 2022 года.
Согласно ему с этой даты органам государственной власти и организациям, осуществляющие закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ (за исключением муниципальных), запрещается использовать иностранное программное обеспечение на принадлежащих им значимых объектах критической информационной инфраструктуры. А так как эти объекты — напомню — это ИС, ИТКС, АСУ, то должно быть заменено как «основное ПО», то есть то, которое реализует основную функцию, ради которой создана система, так и другое, входящее в состав объекта. Как определить — тема отдельная, формально зависит от описания ЗОКИИ, которое подготовлено при категорировании и отправке во ФСТЭК России.
Итак, «судный день» 1 января 2025 года:
- запрет на СЗИ и на услуги ИБ из недружественных стран для …
- запрет на иностранное ПО в составе значимых объектов КИИ для органов госвласти и заказчиков по 223-ФЗ (кроме муниципалов), причём вне зависимости от «недружественности» или «дружественности» страны происхождения ПО.
Как вы думаете, дополнение к пункту 6 сильно изменит ситуацию? Или все уже расстались с «нашими зарубежными партнерами»?
Коллеги, кто закупает по 44-ФЗ — есть что добавить про запреты? Но чтобы открыто, не трогая секреты!