Критично, чтобы российское

Особенности использования прикладного ПО в субъектах КИИ
Ведомости
Ведомости /Евгений Разумный

Ставший давно привычным термин «импортозамещение» в первую очередь применяется в отношении субъектов критической информационной инфраструктуры. Подобные организации давно уже планируют перевести на отечественный софт, очередная отчетная дата – январь 2025 г. Однако полностью отказаться от иностранного ПО, по словам экспертов, совсем не просто.

Что такое КИИ

В нашей стране термин «критическая информационная инфраструктура» (КИИ) появился пять лет назад после принятия Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ». По нему к субъектам КИИ относятся те организации, которые для страны жизненно важны и потому должны работать при любой ситуации. 

При этом информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, установленные в таких организациях, называются объектами КИИ. Субъекты КИИ должны проходить категорирование во ФСТЭК – это процедура, которая позволяет организациям, попавшим в сферу действия 187-ФЗ, понять, к каким их информационным системам, автоматизированным системам управления и сетям предъявляются обязательные требования по обеспечению безопасности. Устанавливаются три категории значимости КИИ – от самой высокой, первой, к самой низкой, третьей. «При этом категорируется не субъект КИИ (организация), а объект, – поясняет управляющий RTM Group Евгений Царев. – И потому наличие организации в той или иной отрасли не означает автоматом, что она обладает значимым объектом КИИ». Например, далеко не каждый банк будет обладать значимым объектом КИИ после прохождения процедуры категорирования, но, в принципе, кредитные организации относятся к субъектам критической инфраструктуры, указал эксперт. Хотя 187-ФЗ вступил в силу достаточно давно, на сегодняшний день еще далеко не все организации, относимые к субъектам КИИ, прошли категорирование, подчеркнул Евгений Царев.

К субъектам КИИ относятся:


● предприятия оборонно-промышленного комплекса;
● больницы, поликлиники, диспансеры, учреждения скорой медицинской помощи;
● НИИ, институты ядерной физики, медицинские университеты, ведущие научную деятельность учреждения;
● вокзалы, аэропорты, метро, организации городского общественного транспорта;
● банки и кредитные организации, страховые компании;
● операторы связи и интернет-провайдеры;
● предприятия химической, горнодобывающей и металлургической промышленности;
● представители топливно-энергетического комплекса, работающие с нефтью, газом, углем, ураном;
● атомные электростанции, разработка и производство атомной энергии;
●       космическое приборостроение, производство ракетных двигателей.

В КИИ без иностранцев

Ограничения на использование субъектами КИИ иностранного ПО планировались уже давно, но даты отказа от иностранного софта неоднократно менялись. «Первоначально сроки были установлены просто дикие – 1 января 2020 и 2021 гг. соответственно, что было совершенно нереально, – указывает в своем блоге эксперт по информационной безопасности Алексей Лукацкий. – По итогам доработки проектов нормативно-правовых актов сроки были сдвинуты».

По словам генерального директора группы «Иннотех» (входит в Холдинг Т1) Дмитрия Харитонова, запрет на применение зарубежного ПО в КИИ обозначен в указах президента РФ № 166 и № 250 от 2022 г. Первый распространяет ограничения на органы государственной власти и организации, осуществляющие закупки в соответствии с Федеральным законом № 223-ФЗ. По нему госзаказчикам с 31 марта 2022 г. запрещено закупать иностранный софт для объектов КИИ, а полностью отказаться от его использования они должны с 1 января 2025 г. «Указ № 250, – продолжает Дмитрий Харитонов, – касается всех без исключения субъектов КИИ, но только в части средств защиты информации». Из софта к средствам защиты информации относятся программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.

В скором времени запрет на использование иностранного ПО планируют распространить на все КИИ. Так, в конце апреля глава Минцифры Максут Шадаев, выступая на годовом собрании АРПП «Отечественный софт», сообщил, что министерство очень рассчитывает на принятие в весеннюю сессию законопроекта о преимущественном использовании всеми субъектами КИИ отечественного ПО. Такой документ еще в сентябре 2022 г. поручил разработать премьер-министр РФ Михаил Мишустин. В поручении говорилось, что проект должен устанавливать «требования по преимущественному использованию всеми субъектами КИИ отечественных ПО, программно-аппаратных комплексов, телекоммуникационного оборудования и радиоэлектронной продукции (с учетом их готовности к массовому внедрению) на принадлежащих им значимых инфраструктурных объектах». Законопроект наделяет правительство и отраслевые ведомства правом устанавливать перечень критических информационных систем, которые будут относиться к объектам КИИ, в каждой отрасли», – указал тогда в ходе своего выступления Максут Шадаев. Кроме того, по каждой отрасли, по каждому виду таких объектов будут определяться предельные сроки перехода на российские решения, сказал министр. До этого мысль о том, что запрет для каждой отрасли на использование иностранного ПО будет определять правительство, озвучивал вице-премьер Дмитрий Чернышенко. Причем эти сроки должны быть синхронизированы со сроками готовности к массовому внедрению соответствующих отечественных решений.

На сегодняшний день документ уже готов, согласован с заинтересованными сторонами и в ближайшее время будет внесен в Госдуму, сообщали «Ведомости» со ссылкой на свои источники, знакомые с ходом обсуждения законопроекта.

Есть ли готовность?

По словам советника генерального директора Content AI Олега Сажина, с точки зрения готовности отечественных игроков заместить иностранные решения ситуация выглядит по-разному для разных классов ПО. «Трудностей не должно возникнуть при переходе на продукты для решения широкого круга пользовательских задач – офисные пакеты для работы с текстом, средства видеоконференц-связи, почтовые клиенты, сервисы для вебинаров и рассылок: качественные и полнофункциональные российские аналоги уже представлены на рынке, – указал эксперт. – По данным АРПП «Отечественный софт», спрос на эти российские продукты в 2022–2023 гг. уже вырос в разы».

Ранее и Максут Шадаев в своих публичных выступлениях отмечал: у правительства нет сомнений, что требования закона в части прикладного ПО будут исполнены в полном объеме. «Мы можем с уверенностью подтвердить его слова: корпоративные заказчики с готовностью реализуют проекты импортозамещения и успешно внедряют прикладной российский софт», – указал Олег Сажин. «Российская IТ-отрасль имеет все необходимое, чтобы развиваться и предлагать бизнесу и государству наиболее рентабельные и эффективные решения», – подтвердил Дмитрий Харитонов. Евгений Царев согласился с коллегами и добавил, что некоторые решения только кажутся незаменимыми, не являясь таковыми на самом деле. «Например, все мы привыкли за много лет к Word, и порой создается ощущение, что без него в принципе невозможна работа, – рассуждает эксперт. – Но достаточно принять за государственный стандарт любое другое решение, отличное от Word, и все на него перейдут». Например, если появится требование, чтобы все документы для госзакупок подавались именно в таком формате и были подготовлены именно в этой программе, пояснил Евгений Царев.

Кроме того что софт должен быть отечественным (уже сейчас или в ближайшем будущем – тут зависит от отрасли), есть и другие требования. «Прикладное ПО, планируемое к внедрению в значимом объекте КИИ (которым присвоена категория и включенным в специальный реестр КИИ), должно соответствовать ряду требований в части безопасной разработки, испытаний по выявлению уязвимостей и поддержки безопасности», – отмечает Дмитрий Харитонов. Также на значимых объектах КИИ РФ может использоваться только ПО, включенное в единый реестр российского ПО (сейчас в нем порядка 16 500 программных продуктов), или евразийское ПО (71 продукт). К решениям по обеспечению безопасности таких объектов, а также к софту для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах выдвигается еще одно требование – наличие сертификата ФСТЭК или ФСБ России. В то же время, когда многие решения только появились на рынке и являются замещением программ иностранных игроков, к обязательной сертификации «правительство будет подходить в индивидуальном порядке и гибко», отмечает Евгений Царев. «Сертификация – это небыстрый процесс. Общая ключевая цель – это успешная реализация программы импортозамещения и оперативное внедрение российского софта в объекты КИИ, и никто не хочет этот процесс тормозить», – указал эксперт.

Так, например, среди вендоров российского офисного ПО, которые подтвердили соответствие требованиям ФСТЭК России и получили разрешение на применение в значимых объектах КИИ, является компания «МойОфис», которая разрабатывает редакторы документов, облачные, почтовые и коммуникационные решения.

Когда нельзя заменить

В то же время, по словам экспертов, есть программные решения, которые пока заменить крайне сложно. По словам Олега Сажина, в качестве примера можно привести специализированное ПО для промышленности и энергетики. «Разработка таких решений занимает больше времени и требует особой квалификации», – отметил эксперт. Олег Сажин указал, что велика вероятность того, что «правительству придется на определенных условиях легализовать использование специализированного зарубежного софта на то время, пока будут идти разработка и переход на конкурентные российские аналоги». По мнению Евгения Царева, переход полностью на отечественное ПО нужно воспринимать с оговорками. «Есть системы, которые работают исключительно на ПО производителя, – рассуждает эксперт. – Заместить программную новинку и сохранить систему не получится, придется полностью менять систему, важно быть реалистами».

Действующие нормативные акты позволяют при крайней необходимости субъектам КИИ приобретать иностранные решения, но лишь по согласованию с отраслевым регулятором, а при стоимости контракта от 100 млн руб. – дополнительно еще и с Минцифры. Но это скорее теория. «Что касается согласования с ведомством, то пока это сложно. Сейчас мы находимся в процессе перестройки всей регуляции», – отмечает Евгений Царев.