Импортозамещение: какие процедуры эксплуатации и сопровождения требуется реализовать субъекту КИИ после включения ПО в Перечень ПО для собственных нужд?

2025 год

Ответ: в соответствии с изменениями, вносимыми Федеральным законом от 31.07.2025 № 325-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» ст. 2 Федерального закона от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», после включения используемого на значимом объекте критической информационной инфраструктуры (далее – КИИ) программного обеспечения (далее – ПО) в перечень российских программ для электронных вычислительных машин и баз данных, разработанных и используемых для собственных нужд российскими юридическими лицами (далее – Перечень ПО для собственных нужд), обязанность субъекта КИИ по использованию ПО, включенного в единый реестр российских программ для электронных вычислительных машин и баз данных, считается исполненной. Данные изменения вступают в силу с 01.03.2026.
Отметим, что согласно постановлению Правительства Российской Федерации (далее – РФ) от 28.11.2025 № 1936 «О перечне российских программ для электронных вычислительных машин и баз данных, разработанных и используемых для собственных нужд российскими юридическими лицами» (далее – ПП-1936), правообладатель ПО, включенного в Перечень ПО для собственных нужд, несет ответственность за обеспечение актуальности сведений о данном ПО. В случае изменения сведений правообладатель ПО обязан уведомить Минцифры России в течение 5 рабочих дней с момента вступления изменений в силу. Данное требование необходимо соблюдать на протяжении всего жизненного цикла ПО, включенного в Перечень ПО для собственных нужд.
К процессам эксплуатации и сопровождения ПО, включенного в Перечень ПО для собственных нужд, на протяжении всего жизненного цикла указанного ПО согласно ПП-1936 предъявляются следующие требования:

• необходимо обеспечить совместимость ПО для собственных нужд с операционными системами, которые соответствуют требованиям к доверенному ПО;
• необходимо проводить регулярные процедуры анализа уязвимостей в ПО из банка данных угроз безопасности информации ФСТЭК России;
• необходимо реализовать мероприятия по защите информации в информационной инфраструктуре, задействованной для разработки и поддержки ПО, от угроз несанкционированного доступа к ней;
• в случае, если ПО для собственных нужд предназначено для защиты информации, необходимо пройти процедуру сертификации средства защиты информации по требованиям безопасности информации в соответствии с постановлением Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации».

Также в соответствии с Требованиями по обеспечению безопасности значимых объектов КИИ РФ, утвержденными приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования к СБ), субъекту КИИ необходимо обеспечить реализацию следующих требований к ПО, в том числе к ПО для собственных нужд, применяемому на значимых объектах КИИ:

• для сертифицированных средств защиты информации в случае, если ПО для собственных нужд предназначено для защиты информации, необходимо наличие оценки соответствия 6 и более высокому уровню доверия в зависимости от категории значимости объекта КИИ (п. 29 Требований к СБ);
• требования по безопасной разработке ПО (п. 29.3.1 Требований к СБ);
• проведение испытаний по выявлению уязвимостей в ПО, в том числе посредством проведения статического анализа исходного кода ПО, фаззинг-тестирования ПО, динамического анализа кода ПО (п. 29.3.2 Требований к СБ);
• требования к поддержке безопасности ПО, включая описание и реализацию процедур обновления ПО (п. 29.3.3 Требований к СБ);
• наличие инструкций по эксплуатации ПО, а также иной эксплуатационной документации на разработанное ПО (п. 30 Требований к СБ);
• наличие гарантийной или технической поддержки ПО со стороны разработчика или производителя ПО (п. 31 Требований к СБ).