BISA
Статьи
Переход КИИ На Отечественные ПАК: Пошаговое Руководство
Переход КИИ на отечественные ПАК: пошаговое руководство

16 ноября 2023 года было опубликовано Постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (т.н. «отечественные ПАК»).

В соответствии с указанным Постановлением:

  • до 1 января 2030 года субъекты КИИ должны осуществить переход на преимущественное применение доверенных программно-аппаратных комплексов (далее — ПАК) на значимых объектах критической информационной инфраструктуры (далее — ЗОКИИ);
  • с 1 сентября 2024 г. не допускается использование субъектами КИИ на ЗОКИИ ПАК, приобретенных с 1 сентября 2024 г. и не являющихся доверенными ПАК, за исключением случаев отсутствия произведенных в Российской Федерации (далее — РФ) доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ ПАК.

Преимущественное применение доверенных ПАК означает, что доля доверенных ПАК, используемых на ЗОКИИ, должна составлять 100% в общем количестве ПАК, применяемых на ЗОКИИ.

Доверенный ПАК — ПАК, который соответствует одновременно трем критериям:

  1. Сведения о ПАК содержатся в едином реестре российской радиоэлектронной продукции.
  2. Программное обеспечение, используемое в составе ПАК, соответствует требованиям, утвержденным постановлением Правительства РФ от 22.09.2022 № 1478.
  3. ПАК, в случае реализации в нем функций защиты информации, соответствует требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документов (сертификатом).

Каков алгоритм перехода на доверенные ПАК?

Данный алгоритм аналогичен порядку перехода на отечественное программное обеспечение, установленный в постановлении Правительства РФ от 22.08.2022 № 1478 и его можно разбить на три шага:

Шаг 1. Провести инвентаризацию используемых на ЗОКИИ ПАК и дождаться от уполномоченного органа (для каждой из сфер деятельности субъекта КИИ) отраслевого плана организации перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ.

Срок разработки и утверждения уполномоченными органами планов организации перехода установлен до 1 сентября 2024 года.

К уполномоченным органам, относятся:

  • Министерство здравоохранения РФ;
  • Министерство науки и высшего образования РФ;
  • Министерство транспорта РФ;
  • Министерство цифрового развития, связи и массовых коммуникаций РФ;
  • Министерство энергетики РФ;
  • Министерство промышленности и торговли РФ;
  • Центральный банк РФ;
  • Министерство финансов РФ — в банковской сфере и иных сферах финансового рынка (за исключением кредитных организаций и некредитных финансовых организаций);
  • Федеральная служба государственной регистрации, кадастра и картографии — в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
  • Госкорпорация «Росатом» — в области атомной энергии;
  • Госкорпорация «Роскосмос» — в области ракетно-космической промышленности.

В течение 20 рабочих дней со дня утверждения отраслевого плана перехода уполномоченный орган направляет субъектам КИИ утвержденный план и уведомление о необходимости разработки плана перехода субъекта КИИ.

Шаг 2. Разработать и утвердить «свой» план перехода на преимущественное применение доверенных ПАК.

Субъект КИИ в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана в уполномоченных орган:

  • до 1 января 2025 г., если сведения об объекте КИИ включены в реестр ЗОКИИ по состоянию на 1 сентября 2024 г.;
  • в четырех месячный срок со дня получения уведомления от ФСТЭК России о внесении в реестр ЗОКИИ, в случае присвоения объекту КИИ категории значимости после 1 сентября 2024 г.

Шаг 3. Осуществить переход на преимущественное применение доверенных ПАК в соответствии с планом в срок до 01.01.2030.

Таким образом, основные контрольные сроки для субъекта КИИ: 01.09.2024, 01.01.2025, 01.01.2030. Кроме того, необходимо учитывать, что субъектам КИИ необходимо ежегодно представлять отчет о реализации планов перехода.

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

Саматов Константин Михайлович, Эксперт BISA, член Правления Ассоциации руководителей служб информационной безопасности и руководитель комитета по безопасности КИИ АРСИБ
Присоединяйтесь к BISA в
Читать свежее
22.04.2024
Кадровые проблемы в ИБ — есть нет отставить
16.04.2024
Ключевые функции службы ИБ в организации
05.03.2024
Ступени зрелости управления привилегированным доступом