16 ноября 2023 года было опубликовано Постановление Правительства Российской Федерации от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» (т.н. «отечественные ПАК»).

В соответствии с указанным Постановлением:

• до 1 января 2030 года субъекты КИИ должны осуществить переход на преимущественное применение доверенных программно-аппаратных комплексов (далее — ПАК) на значимых объектах критической информационной инфраструктуры (далее — ЗОКИИ);
• с 1 сентября 2024 г. не допускается использование субъектами КИИ на ЗОКИИ ПАК, приобретенных с 1 сентября 2024 г. и не являющихся доверенными ПАК, за исключением случаев отсутствия произведенных в Российской Федерации (далее — РФ) доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ ПАК.

Преимущественное применение доверенных ПАК означает, что доля доверенных ПАК, используемых на ЗОКИИ, должна составлять 100% в общем количестве ПАК, применяемых на ЗОКИИ.

Доверенный ПАК — ПАК, который соответствует одновременно трем критериям:

1. Сведения о ПАК содержатся в едином реестре российской радиоэлектронной продукции.
2. Программное обеспечение, используемое в составе ПАК, соответствует требованиям, утвержденным постановлением Правительства РФ от 22.09.2022 № 1478.
3. ПАК, в случае реализации в нем функций защиты информации, соответствует требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документов (сертификатом).

Каков алгоритм перехода на доверенные ПАК?

Данный алгоритм аналогичен порядку перехода на отечественное программное обеспечение, установленный в постановлении Правительства РФ от 22.08.2022 № 1478 и его можно разбить на три шага:

Шаг 1. Провести инвентаризацию используемых на ЗОКИИ ПАК и дождаться от уполномоченного органа (для каждой из сфер деятельности субъекта КИИ) отраслевого плана организации перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ.

Срок разработки и утверждения уполномоченными органами планов организации перехода установлен до 1 сентября 2024 года.

К уполномоченным органам, относятся:

• Министерство здравоохранения РФ;
• Министерство науки и высшего образования РФ;
• Министерство транспорта РФ;
• Министерство цифрового развития, связи и массовых коммуникаций РФ;
• Министерство энергетики РФ;
• Министерство промышленности и торговли РФ;
• Центральный банк РФ;
• Министерство финансов РФ — в банковской сфере и иных сферах финансового рынка (за исключением кредитных организаций и некредитных финансовых организаций);
• Федеральная служба государственной регистрации, кадастра и картографии — в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
• Госкорпорация «Росатом» — в области атомной энергии;
• Госкорпорация «Роскосмос» — в области ракетно-космической промышленности.

В течение 20 рабочих дней со дня утверждения отраслевого плана перехода уполномоченный орган направляет субъектам КИИ утвержденный план и уведомление о необходимости разработки плана перехода субъекта КИИ.

Шаг 2. Разработать и утвердить «свой» план перехода на преимущественное применение доверенных ПАК.

Субъект КИИ в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана в уполномоченных орган:

• до 1 января 2025 г., если сведения об объекте КИИ включены в реестр ЗОКИИ по состоянию на 1 сентября 2024 г.;
• в четырех месячный срок со дня получения уведомления от ФСТЭК России о внесении в реестр ЗОКИИ, в случае присвоения объекту КИИ категории значимости после 1 сентября 2024 г.

Шаг 3. Осуществить переход на преимущественное применение доверенных ПАК в соответствии с планом в срок до 01.01.2030.

Таким образом, основные контрольные сроки для субъекта КИИ: 01.09.2024, 01.01.2025, 01.01.2030. Кроме того, необходимо учитывать, что субъектам КИИ необходимо ежегодно представлять отчет о реализации планов перехода.

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.