Запрет иностранных решений в КИИ: как обстоят дела в реальности
07 марта 2024
Алексей Комаров,
региональный представитель УЦСБ, автор блога zlonov.ru
Законодательство в области защиты критической информационной инфраструктуры (КИИ) содержит немало требований и запретов, разобраться в которых порой бывает не так просто в силу обилия нормативных правовых актов и специфики их юридического языка.
В этой статье рассмотрен один из «классов» действующих ограничений, а именно запреты — явные и неявные — на использование иностранных решений на объектах критической информационной инфраструктуры. Забегая вперёд, стоит отметить, что тезис о полном запрете в КИИ всего, что не является отечественным, неверен.
Алексей Комаров,
региональный представитель УЦСБ, автор блога zlonov.ru
Законодательство в области защиты критической информационной инфраструктуры (КИИ) содержит немало требований и запретов, разобраться в которых порой бывает не так просто в силу обилия нормативных правовых актов и специфики их юридического языка.
В этой статье рассмотрен один из «классов» действующих ограничений, а именно запреты — явные и неявные — на использование иностранных решений на объектах критической информационной инфраструктуры. Забегая вперёд, стоит отметить, что тезис о полном запрете в КИИ всего, что не является отечественным, неверен.
Основные нормативные правовые акты
Законодательное регулирование в сфере импортозамещения начало активно формироваться ещё в 2014 году как ответ на санкции, введённые против Российской Федерации (РФ) по следам хорошо известных всем событий того года.
С тех пор было принято немало законов, постановлений, распоряжений, приказов и иных нормативных правовых актов (НПА) об импортозамещении, ранее принятые акты неоднократно изменялись, а счёт статьям и комментариям в отраслевых изданиях, полагаю, уже давно идёт на сотни, если не на тысячи. Однако все устанавливаемые и разъясняемые этими документами запреты не являются предметом данной статьи, хотя если субъект КИИ осуществляет свои закупки для обеспечения государственных и муниципальных нужд, то помимо рассмотренных ниже ограничений ему необходимо учесть и положения Постановления Правительства РФ № 1236 от 16.11.2015 «Об установлении запрета на допуск ПО, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» и всех связанных НПА.
Среди НПА, ограничивающих применение иностранных решений и непосредственно относящихся именно к субъектам КИИ, стоит выделить следующие.
С тех пор было принято немало законов, постановлений, распоряжений, приказов и иных нормативных правовых актов (НПА) об импортозамещении, ранее принятые акты неоднократно изменялись, а счёт статьям и комментариям в отраслевых изданиях, полагаю, уже давно идёт на сотни, если не на тысячи. Однако все устанавливаемые и разъясняемые этими документами запреты не являются предметом данной статьи, хотя если субъект КИИ осуществляет свои закупки для обеспечения государственных и муниципальных нужд, то помимо рассмотренных ниже ограничений ему необходимо учесть и положения Постановления Правительства РФ № 1236 от 16.11.2015 «Об установлении запрета на допуск ПО, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» и всех связанных НПА.
Среди НПА, ограничивающих применение иностранных решений и непосредственно относящихся именно к субъектам КИИ, стоит выделить следующие.
1. НПА c прямыми запретами и ограничениями:
• Указ Президента РФ от 30.03.2022 №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»;
• Указ Президента РФ от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
• Постановление Правительства РФ от 22.08.2022 №1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»;
• Постановление Правительства РФ от 14.11.2023 №1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».
• Указ Президента РФ от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
• Постановление Правительства РФ от 22.08.2022 №1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»;
• Постановление Правительства РФ от 14.11.2023 №1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».
2. НПА с косвенными запретами и ограничениями:
• Приказ Федеральной службы по техническому и экспортному контролю от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
• Приказ ФСТЭК России №76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
Далее каждый из упомянутых НПА будет рассмотрены подробнее.
• Приказ ФСТЭК России №76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
Далее каждый из упомянутых НПА будет рассмотрены подробнее.
Далее каждый из упомянутых НПА будет рассмотрен подробнее.
Читайте полную версию статьи на anti-malware.ru
Читайте полную версию статьи на anti-malware.ru
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы