Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
КИИ РФ: новые требования к ПО на значимых объектах
На официальном интернет-портале правовой информации 26.08.2022 опубликовано Постановление Правительства Российской Федерации от 22.08.2022 № 1478, которое устанавливает новые правила использования программного обеспечения на значимых объектах критической информационной инфраструктуры (КИИ) органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием). Постановление принято во исполнение Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры (КИИ) Российской Федерации».
Постановление №1478 утверждает:
- требования к программному обеспечению (в т.ч. в составе программно-аппаратных комплексов), используемому на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации;
- правила согласования закупок иностранного программного обеспечения (в т.ч. в составе программно-аппаратных комплексов) на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах;
- правила перехода на преимущественное использование российского программного обеспечения на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации.
В соответствии с положениями данного Постановления Минцифры России:
- Будет осуществлять контроль за соблюдением Правил согласования закупок иностранного программного обеспечения, а также закупок услуг, необходимых для использования этого программного обеспечения на значимых объектах КИИ, утвержденных настоящим постановлением, и за соблюдением запрета на использование иностранного программного обеспечения, также для реализации своих полномочий имеет право привлекать экспертную организацию в порядке, предусмотренном законодательством РФ.
- В 2-месячный срок со дня вступления в силу постановления (до 26.10.2022) по согласованию с ФСБ России и ФСТЭК России утвердит методические рекомендации по переходу на использование российского ПО, в том числе на значимых объектах критической информационной инфраструктуры РФ.
Требования к ПО на значимых объектах КИИ РФ:
- Федеральными органами исполнительной власти, уполномоченными на согласование закупок иностранного программного обеспечения и услуг, необходимых для использования этого ПО на значимых объектах КИИ, являются:
- Министерство здравоохранения Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сфере здравоохранения);
- Министерство науки и высшего образования Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сфере науки и образования);
- Министерство транспорта Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сфере транспорта);
- Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сфере связи);
- Министерство финансов Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в банковской сфере и иных сферах финансового рынка);
- Министерство энергетики Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сферах энергетики и топливно-энергетического комплекса);
- Министерство промышленности и торговли Российской Федерации (для использования ПО на значимых объектах КИИ, функционирующих в сфере горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии).
Вышеуказанными ведомствами для реализации согласования могут привлекаться отраслевые центры компетенций по импортозамещению ПО.
- На значимых объектах КИИ РФ может использоваться только программное обеспечение, включенное в единый реестр российского или евразийского ПО.
- ПО для обеспечения безопасности значимых объектов КИИ РФ, а также ПО, предназначенное для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах на объектах КИИ РФ, должно соответствовать настоящим требованиям и требованиям ФСТЭК России и ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).
Правила закупки иностранного программного обеспечения
- Заказчик обязан согласовывать закупку иностранного программного обеспечения с отраслевым ведомством, в которое он отправляет заявку с подробной информацией о закупке. Информация о закупке включает, в том числе:
- обоснование невозможности соблюдения запрета на допуск ПО, происходящего из иностранных государств (кроме ПО, включенного в реестр евразийского ПО, за исключением РФ);
- сертификат соответствия требованиям ФСТЭК России и ФСБ России для иностранного ПО, предназначенного для обеспечения безопасности значимых объектов КИИ;
- сведения о классе иностранного программного обеспечения согласно классификатору программ для электронных вычислительных машин и баз данных;
- информацию о ранее полученных правах на использование закупаемого иностранного программного обеспечения.
- Отраслевой орган рассматривает заявку в течение 5 рабочих дней, затем в течение следующего дня после рассмотрения отправляет заказчику уведомление о соответствии или несоответствии требованиям. В течение 8 дней после уведомления отраслевой орган принимает решение либо о согласовании закупки, либо об отказе в согласовании.
- Закупки на сумму свыше 100 млн руб. дополнительно согласовываются комиссией, сформированной Минцифры России. Основанием для отказа в согласовании являются, в том числе, недостоверность предоставленных сведений и отсутствие плана перехода на преимущественное использование российского программного обеспечения.
- Заказчик в течение 10 дней после согласования закупки отраслевым министерством направляет сведения о согласовании в Минцифры России.
Правила перехода на российское программное обеспечение
- Минцифры России в течение 2 месяцев (с 26.08.2022) утверждает отраслевой план мероприятий по обеспечению готовности заказчиков к преимущественному использованию российского программного обеспечения (в т.ч. в составе ПАК), включающий целевые показатели, сроки перехода заказчиков на российское программное обеспечение.
- Заказчики проводят анализ соответствия используемого на принадлежащих им значимых объектах критической информационной инфраструктуры (КИИ) РФ программного обеспечения требованиям данного постановления Правительства РФ (№ 1478 от 22.08.2022).
- В течение 2 месяцев со дня утверждения методических рекомендаций Минцифры России разрабатывают и утверждают план перехода на преимущественное использование на значимых объектах КИИ РФ российского программного обеспечения. План составляется на период до 01.01.2025 г. с разбивкой по годам.
- В течение 10 рабочих дней со дня утверждения плана перехода направляют его копию в Минцифры России, а также в отраслевой орган.
Напомним также, что в рамках другого закона о закупках «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» от 05.04.2013 (44-ФЗ) постановление о запрете закупок иностранного программного обеспечения вышло еще в 2015 году (Постановление Правительства от 16.11.2015 г. №1236).
Источники:
- Постановление Правительства Российской Федерации от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»
- Федеральный закон «О закупках товаров, работ, услуг отдельными видами юридических лиц» от 18 июля 2011 года № 223-ФЗ
- Федеральный закон «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» от 5 апреля 2013 года №44-ФЗ
- Постановление Правительства от 16.11.2015 г. №1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»