Импортозамещение: какие требования к импортозамещению установлены для финансовых организаций (организаций, функционирующих в банковской сфере и иных сферах финансового рынка)?

2025 год

Ответ: для субъектов критической информационной инфраструктуры (далее – КИИ), в том числе являющихся финансовыми организациями, требования к импортозамещению установлены в следующих нормативных правовых актах:

• Указ Президента Российской Федерации (далее – РФ) от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (запрет на использование иностранного программного обеспечения (далее – ПО) в значимых объектах КИИ для отдельных категорий субъектов КИИ);
• Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (запрет для всех субъектов КИИ на использование средств защиты информации из недружественных стран, а также запрет на пользование услугами по информационной безопасности, предоставляемыми организациями из недружественных стран);
• постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому…» (требования к использованию российского или евразийского ПО в значимых объектах КИИ для отдельных категорий субъектов КИИ);
• постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных…» (требования к использованию доверенных программно-аппаратных комплексов в значимых объектах КИИ для всех субъектов КИИ).

Ранее в нашей рубрике мы рассматривали вопросы по требованиям к импортозамещению. Так, например, можно выделить ответы на следующие вопросы, содержащие описание общих установленных требований:

• Импортозамещение: на какие организации распространяются требования постановления Правительства Российской Федерации от 14.11.2023 № 1912?
• Импортозамещение: могут ли организации подпадать как под ПП-1478, так и под ПП-1912? Каким образом обеспечить одновременное исполнение соответствующих нормативных правовых актов?
• Указ Президента РФ № 166: как определить, распространяется ли на нашу организацию УП-166?
• Указ Президента РФ № 250: что означает запрет на использование сервисов, услуг и работ по обеспечению ИБ, предоставляемых иностранными государствами?
• СБ ЗОКИИ: подпадают ли под запрет использования иностранные средства защиты информации союзных государств (Республика Беларусь) на значимых объектах КИИ?

Однако помимо требований, утвержденных постановлениями Правительства РФ и указами Президента РФ, финансовым организациям необходимо учитывать отраслевые требования к импортозамещению. Некредитные и кредитные финансовые организации (то есть субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка) обязаны обеспечить переход на преимущественное использование российского ПО, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах КИИ. Соответствующие требования о переходе на отечественные программные, аппаратные и программно-аппаратные средства в рамках значимых объектов КИИ установлены в статьях 57.5-1 (для кредитных организаций) и 76.4-3 (для некредитных организаций) Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
Таким образом, организациям, функционирующим в банковской сфере и иных сферах финансового рынка, как субъектам КИИ:

• запрещено использовать средства защиты информации из недружественных стран;
• запрещено пользоваться услугами по обеспечению информационной безопасности, предоставляемыми организациями из недружественных стран;
• необходимо осуществить переход на доверенные программно-аппаратные комплексы на значимых объектах КИИ;
• необходимо осуществить переход на российское ПО, отечественную радиоэлектронную продукцию и телекоммуникационное оборудование на значимых объектах КИИ.