Что такое критическая информационная инфраструктура?
Госорганы, банки и другие владельцы объектов критической информационной инфраструктуры (КИИ) должны будут с 1 января 2021 года перейти на российский софт, а с 1 января 2022 года — на отечественное оборудование. Об этом говорится в проекте указа президента, который Минкомсвязь отправила на согласование в Минпромторг, ФСБ и Федеральную службу по техническому и экспортному контролю (ФСТЭК), пишет РБК.
Что такое критическая информационная инфраструктура?
В России действует закон «О безопасности критической информационной инфраструктуры». Согласно этому документу, критическая информационная инфраструктура — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры, а также сети электросвязи, которые используются для организации взаимодействия таких объектов.
Кто пользуется КИИ?
Субъектами КИИ являются государственные органы, а также госучреждения, российские юридические лица или индивидуальные предприниматели. Речь идет о научных и кредитно-финансовых организациях, а также предприятиях, работающих в стратегически важных для государства областях: оборонной, топливной и атомной промышленности, в сферах транспорта, энергетики, здравоохранения, связи, в ракетно-космической, горнодобывающей, металлургической и химической промышленности и т. д.
Что обязаны делать субъекты КИИ?
Владельцы КИИ должны подключить свои объекты к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), созданной ФСБ, и передавать в нее данные обо всех инцидентах с КИИ.
Также госорганы, банки и компании, использующие КИИ, должны присвоить ей одну из категорий значимости в соответствии с установленными критериями. Критериями являются величина ущерба стране, гражданам и владельцу КИИ в случае атаки на нее хакеров, уровень воздействия объекта на окружающую среду, его значимость для обеспечения обороны страны, безопасности государства и правопорядка.
Сведения о присвоения объекту КИИ категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий передаются в ФСТЭК. Этот орган проверяет корректность присвоения категории значимости и в случае отсутствия замечаний вносит объект в Реестр значимых объектов критической информационной инфраструктуры. ФСТЭК создает систему безопасности
За нарушение правил эксплуатации КИИ, повлекшее для нее вред, предусмотрена уголовная ответственность для сотрудников компаний, управляющих объектами критической инфраструктуры.
Какие объекты КИИ будут переводить на отечественные ПО и оборудование?
Проект предусматривает, что отечественные ПО и оборудование должны будут использовать владельцы всех объектов КИИ, в том числе и незначительных, которые не регулирует ФСТЭК. Такие, например, используют в ломбардах, т. к. это учреждение работает в кредитно-финансовой сфере.
Между тем участники одной из рабочих подгрупп Госсовета выступили с предложением о том, что правила использования отечественного ПО и оборудования на объектах КИИ должны применяться в зависимости от уровня значимости объекта. А Минпромторг и ФСТЭК разработали проект документа, согласно которому средства защиты информации на отечественной аппаратной части и микроэлектронике должны использоваться на довольно узком сегменте КИИ и только с 2024 и 2028 года соответственно.
В каком случае разрешат пользоваться западными ПО и оборудованием?
Согласно документу Минкомсвязи, владельцы критической инфраструктуры должны будут использовать только софт, указанный в реестрах российских или произведенных в Евразийском экономическом союзе (Белоруссия, Казахстан, Киргизия, Армения) программ. В свою очередь, оборудование должно быть упомянуто в Реестре российской радиоэлектронной продукции.
Однако владельцы КИИ смогут продолжить использовать иностранные продукты, согласовав это с ведомствами. Это будет возможно, если зарубежный софт или оборудование не имеет российских аналогов либо если российские продукты не позволяют КИИ выполнять необходимые цели и задачи. В этих случаях техподдержкой и модернизацией зарубежного софта и оборудования должны заниматься отечественные организации, которые не контролируются иностранными компаниями или гражданами.
Когда новые правила вступят в силу?
Правительство должно утвердить порядок перехода КИИ на отечественные оборудование и ПО, а также требования к таким продуктам до 1 сентября 2020 года.
