КИИ на стол
Законопроект о российском ПО для критической информационной инфраструктуры дошел до Госдумы
В Госдуму внесен законопроект Минцифры о переходе субъектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную продукцию. Документ разрабатывался с 2022 года и должен наделить правительство правом самостоятельно присваивать степень значимости как объектам КИИ, так и IT-решениям, которые они используют. Участники рынка считают, что это облегчит импортозамещение. Но эксперты подчеркивают, что вопросы сохраняются даже в категорировании самого российского ПО.
Фото: Роман Яровицын, Коммерсантъ
“Ъ” ознакомился с внесенным правительством в Госдуму 21 марта законопроектом, который предлагает поправки к закону «О безопасности критической информационной инфраструктуры РФ» №187 и нацелен на дополнение действующих мер по импортозамещению зарубежного софта, телекоммуникационного оборудования и программно-аппаратных комплексов. Он распространяется на все компании, работа которых относится к критической информационной инфраструктуре (КИИ). В случае принятия закон вступит в силу 1 марта 2025 года.
К субъектам КИИ относятся госорганы, организации в области связи, здравоохранения, науки, транспорта, энергетики, банковской сферы, топливно-энергетического комплекса и других значимых отраслей экономики. Объекты КИИ — инфраструктура, которую контролирует тот или иной объект (предприятие, линии связи и т. д.). По требованиям 187-ФЗ есть три степени значимости КИИ. На их присвоение влияет значимость объекта: социальная, экономическая, политическая и т. д.
Согласно проекту, правительство сможет определять требования к используемым на объектах КИИ технологиям, в том числе случаи использования ПО и радиоэлектронной продукции из «иностранных государств», сроки перехода субъектов КИИ на российские решения и порядок мониторинга процесса.
Госорганы, включая ФСТЭК и ЦБ в случае с финансовой отраслью, должны сформировать перечни типовых отраслевых объектов КИИ, включая наименования типов информсистем, которые используются компаниями. Данные об IT-системах, задействованных на объектах КИИ, должны предоставлять ФСТЭК сами компании.
В случае если субъекты КИИ предоставят недостоверные сведения, ФСТЭК в течение 30 дней может направить им требования об устранении нарушений. Однако других ужесточающих этот процесс мер в проекте не приведено.
Документ с 2022 года разрабатывало Минцифры. В ноябре 2022 года министр Максут Шадаев объяснял необходимость проекта тем, что «компании пренебрегают правом самостоятельного категорирования», то есть обходят существующие требования закона об импортозамещении. Проект должен наделить правительство полномочиями определять для каждой отрасли и госкомпаний типовые решения, которые будут отнесены к объектам КИИ, а также устанавливать для них сроки перехода на российский софт (см. “Ъ” от 7 августа 2023 года).
Сейчас импортозамещение в КИИ регламентирует указ президента от марта 2022 года: госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение на объектах КИИ с 1 января 2025 года. В новом документе срок перехода смещен на три месяца.
В Минцифры “Ъ” уточнили, что для госорганов срок перехода установлен 1 января 2025 года: «Другие категории объектов наделят своим сроком импортозамещения».
«Ни одна страна в мире не может похвастаться тем, что обходится только своими силами в области технологий, но проводить импортозамещение в части именно критической инфраструктуры важно»,— отмечает президент «Лиги цифровой экономики» Сергей Шилов. Но в Ассоциации больших данных (АБД; объединяет «Сбер», «Ростелеком» и др.), которая «в целом поддерживает законопроект», подчеркивают, что «подход целесообразно дифференцировать в зависимости от отрасли и класса ПО». «Должны быть установлены разные сроки перехода в зависимости от того, что именно используется на объектах КИИ, что требуется импортозаместить, и от готовности самого российского ПО»,— поясняют в АБД.
Дмитрий Медведев, зампред Совбеза РФ, 22 февраля 2024 года: «Есть задача до 2025 года вообще перевести весь софт в отношении критической инфраструктуры на российские рельсы. Задача непростая, потому что у нас далеко не все есть».
Законопроект коснется как прикладного, так и системного ПО, например, решений для виртуализации, отмечает технический директор компании-разработчика «Базис» Дмитрий Сорокин. Однако для успешного перехода КИИ на отечественное ПО, полагает эксперт, оно должно быть основано на собственной кодовой базе, создаваться в соответствии с принципами безопасной разработки и обладать соответствующими сертификатами безопасности, например, от ФСТЭК.
Директор департамента инфраструктуры «EdgeЦентр» Алексей Учакин уточняет, что «до сих пор непонятно, что считать отечественным ПО»: в реестре много софта, который из себя представляет решения на открытом коде с «перебитыми шильдиками». Кроме того, отмечает он, в некоторых случаях «просто невозможно заменить одно ПО на другое без потери в производительности и функциональности».