В Госдуму внесён законопроект о переходе КИИ на отечественный софт

В Госдуму внесён законопроект №581689-8 «О внесении изменений в Федеральный закон „О безопасности критической информационной инфраструктуры Российской Федерации“», которым предлагается перевести объекты критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение и радиоэлектронную продукцию.

Согласно документу, Правительство и ЦБ смогут определять перечень объектов критической информационной инфраструктуры, которые должны будут перейти на отечественное программное обеспечение и отечественную радиоэлектронную продукцию.

Из проекта следует, что кабмин и финансовый регулятор смогут определять порядок и сроки такого перехода. Кроме того, они будут определять требования к используемым на значимых объектах критической информационной инфраструктуры компьютерным программам, базам данных и радиоэлектронным продуктам, в том числе к телекоммуникационному оборудованию. Если соответствующий закон будет принят, он вступит в силу 1 марта 2025 года.

В пояснительной записке говорится, что законопроект направлен на «обеспечение технологической независимости и безопасности критической информационной инфраструктуры» России в условиях введенных против страны санкций.

Необходимость данного законопроекта Минцифры объясняет так:

«Сейчас относить или нет объект КИИ к значимому определяет собственник той или иной информсистемы. Зачастую компании этим пренебрегают и минимизируют количество систем, которые определяются как значимые объекты КИИ. Законопроект позволит установить для каждой отрасли уникальный перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным».

Госорганы, включая ФСТЭК и ЦБ в случае с финансовой отраслью, должны сформировать перечни типовых отраслевых объектов КИИ, включая наименования типов информсистем, которые используются компаниями. Данные об IT-системах, задействованных на объектах КИИ, должны предоставлять ФСТЭК сами компании.

В случае если субъекты КИИ предоставят недостоверные сведения, ФСТЭК в течение 30 дней может направить им требования об устранении нарушений. Однако других ужесточающих этот процесс мер в проекте не приведено.

Сейчас импортозамещение в КИИ регламентирует указ президента от марта 2022 года: госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение на объектах КИИ с 1 января 2025 года. В новом документе срок перехода смещен на три месяца.

В Минцифры «Ъ» уточнили, что для госорганов срок перехода установлен 1 января 2025 года:

«Другие категории объектов наделят своим сроком импортозамещения».

«Ни одна страна в мире не может похвастаться тем, что обходится только своими силами в области технологий, но проводить импортозамещение в части именно критической инфраструктуры важно»,— отмечает президент «Лиги цифровой экономики» Сергей Шилов.

Но в Ассоциации больших данных (АБД; объединяет «Сбер», «Ростелеком» и др.), которая «в целом поддерживает законопроект», подчеркивают, что «подход целесообразно дифференцировать в зависимости от отрасли и класса ПО».

Законопроект коснется как прикладного, так и системного ПО, например, решений для виртуализации, отмечает технический директор компании-разработчика «Базис» Дмитрий Сорокин. Однако для успешного перехода КИИ на отечественное ПО, полагает эксперт, оно должно быть основано на собственной кодовой базе, создаваться в соответствии с принципами безопасной разработки и обладать соответствующими сертификатами безопасности, например, от ФСТЭК.

Директор департамента инфраструктуры «EdgeЦентр» Алексей Учакин уточняет, что «до сих пор непонятно, что считать отечественным ПО»: в реестре много софта, который из себя представляет решения на открытом коде с «перебитыми шильдиками». Кроме того, отмечает он, в некоторых случаях «просто невозможно заменить одно ПО на другое без потери в производительности и функциональности».