КИИ РФ: новые требования к ПО на значимых объектах

На официальном интернет-портале правовой информации 26.08.2022 опубликовано Постановление Правительства Российской Федерации от 22.08.2022 № 1478, которое устанавливает новые правила использования программного обеспечения на значимых объектах критической информационной инфраструктуры (КИИ) органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием). Постановление принято во исполнение Указа Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры (КИИ) Российской Федерации».

Постановление №1478 утверждает:

• требования к программному обеспечению (в т.ч. в составе программно-аппаратных комплексов), используемому на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации;
• правила согласования закупок иностранного программного обеспечения (в т.ч. в составе программно-аппаратных комплексов) на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах;
• правила перехода на преимущественное использование российского программного обеспечения на значимых объектах критической информационной инфраструктуры (КИИ) Российской Федерации.

В соответствии с положениями данного Постановления Минцифры России:

1. Будет осуществлять контроль за соблюдением Правил согласования закупок иностранного программного обеспечения, а также закупок услуг, необходимых для использования этого программного обеспечения на значимых объектах КИИ, утвержденных настоящим постановлением, и за соблюдением запрета на использование иностранного программного обеспечения, также для реализации своих полномочий имеет право привлекать экспертную организацию в порядке, предусмотренном законодательством РФ.
2. В 2-месячный срок со дня вступления в силу постановления (до 26.10.2022) по согласованию с ФСБ России и ФСТЭК России утвердит методические рекомендации по переходу на использование российского ПО, в том числе на значимых объектах критической информационной инфраструктуры РФ.

Требования к ПО на значимых объектах КИИ РФ:

1. Федеральными органами исполнительной власти, уполномоченными на согласование закупок иностранного программного обеспечения и услуг, необходимых для использования этого ПО на значимых объектах КИИ, являются:

• Министерство здравоохранения Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сфере здравоохранения);
• Министерство науки и высшего образования Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сфере науки и образования);
• Министерство транспорта Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сфере транспорта);
• Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сфере связи);
• Министерство финансов Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в банковской сфере и иных сферах финансового рынка);
• Министерство энергетики Российской Федерации (для использования ПО на значимых объектах КИИ, действующих в сферах энергетики и топливно-энергетического комплекса);
• Министерство промышленности и торговли Российской Федерации (для использования ПО на значимых объектах КИИ, функционирующих в сфере горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии).

Вышеуказанными ведомствами для реализации согласования могут привлекаться отраслевые центры компетенций по импортозамещению ПО.

2. На значимых объектах КИИ РФ может использоваться только программное обеспечение, включенное в единый реестр российского или евразийского ПО.
3. ПО для обеспечения безопасности значимых объектов КИИ РФ, а также ПО, предназначенное для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах на объектах КИИ РФ, должно соответствовать настоящим требованиям и требованиям ФСТЭК России и ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).

Правила закупки иностранного программного обеспечения

1. Заказчик обязан согласовывать закупку иностранного программного обеспечения с отраслевым ведомством, в которое он отправляет заявку с подробной информацией о закупке. Информация о закупке включает, в том числе:

• обоснование невозможности соблюдения запрета на допуск ПО, происходящего из иностранных государств (кроме ПО, включенного в реестр евразийского ПО, за исключением РФ);
• сертификат соответствия требованиям ФСТЭК России и ФСБ России для иностранного ПО, предназначенного для обеспечения безопасности значимых объектов КИИ;
• сведения о классе иностранного программного обеспечения согласно классификатору программ для электронных вычислительных машин и баз данных;
• информацию о ранее полученных правах на использование закупаемого иностранного программного обеспечения.

2. Отраслевой орган рассматривает заявку в течение 5 рабочих дней, затем в течение следующего дня после рассмотрения отправляет заказчику уведомление о соответствии или несоответствии требованиям. В течение 8 дней после уведомления отраслевой орган принимает решение либо о согласовании закупки, либо об отказе в согласовании.
3. Закупки на сумму свыше 100 млн руб. дополнительно согласовываются комиссией, сформированной Минцифры России. Основанием для отказа в согласовании являются, в том числе, недостоверность предоставленных сведений и отсутствие плана перехода на преимущественное использование российского программного обеспечения.
4. Заказчик в течение 10 дней после согласования закупки отраслевым министерством направляет сведения о согласовании в Минцифры России.

Правила перехода на российское программное обеспечение

1. Минцифры России в течение 2 месяцев (с 26.08.2022) утверждает отраслевой план мероприятий по обеспечению готовности заказчиков к преимущественному использованию российского программного обеспечения (в т.ч. в составе ПАК), включающий целевые показатели, сроки перехода заказчиков на российское программное обеспечение.
2. Заказчики проводят анализ соответствия используемого на принадлежащих им значимых объектах критической информационной инфраструктуры (КИИ) РФ программного обеспечения требованиям данного постановления Правительства РФ (№ 1478 от 22.08.2022).
3. В течение 2 месяцев со дня утверждения методических рекомендаций Минцифры России разрабатывают и утверждают план перехода на преимущественное использование на значимых объектах КИИ РФ российского программного обеспечения. План составляется на период до 01.01.2025 г. с разбивкой по годам.
4. В течение 10 рабочих дней со дня утверждения плана перехода направляют его копию в Минцифры России, а также в отраслевой орган.

Напомним также, что в рамках другого закона о закупках «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» от 05.04.2013 (44-ФЗ) постановление о запрете закупок иностранного программного обеспечения вышло еще в 2015 году (Постановление Правительства от 16.11.2015 г. №1236).

Источники:

1. Постановление Правительства Российской Федерации от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»
2. Федеральный закон «О закупках товаров, работ, услуг отдельными видами юридических лиц» от 18 июля 2011 года № 223-ФЗ
3. Федеральный закон «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» от  5 апреля 2013 года №44-ФЗ
4. Постановление Правительства от 16.11.2015 г. №1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»