МОСКВА, 14 февраля (BigpowerNews) — Минцифры подготовило законопроект,
согласно которому правительство и ЦБ смогут определять перечень объектов
критической информационной инфраструктуры (КИИ) – объектов, которые по указу
президента России от 30 марта 2022 г. должны будут с 2025 г.
обязательно перейти на отечественный софт. Об этом рассказали источники
«Ведомостей» в телекомоператоре и профильной ассоциации. Обсуждение этой
инициативы подтвердил собеседник в правительстве, а подлинность документа –
собеседник в компании-интеграторе, отмечает газета.
По информации «Ведомостей», которым удалось ознакомиться с текстом
законопроекта, предложенная инициатива предусматривает внесение изменений в
закон «О безопасности КИИ», а текущая версия документа согласована ФСТЭК, ФСБ и
Минфином. Также к документу прикреплен положительный отзыв ЦБ.
О том, что Минцифры работает над правилами о порядке и сроках перевода
объектов КИИ на отечественные IТ-решения, сообщалось в мае 2023 г.
Законопроект в текущей редакции рассматривался на заседании правительственной
комиссии по законопроектной деятельности 12 февраля, поясняет источник
«Ведомостей» в телекомоператоре.
В законопроекте речь идет об отдельных системах или объектах в компаниях
(субъектах КИИ), к которым относятся государственные ведомства и организации из
областей ТЭКа, здравоохранения, науки, транспорта, связи, банковской сферы,
перечисляет старший аналитик по информационной безопасности «Лиги цифровой
экономики» Елена Камышная, слова которой приводит газета. Сегодня субъекты КИИ
могут сами категоризировать значимость своих объектов и, например, не относить
их к КИИ, объясняет эксперт.
Сейчас рассматривается уже третья редакция закона, которая предполагает
более жесткую нормативную базу, ясные требования и невозможность их обойти,
отмечает генеральный директор инженерной компании «Уралэнерготел» (выполняет
работы по проектированию и внедрению КИИ) Алексей Бельский.
Ключевые изменения касаются категорирования объектов КИИ. Так, госорганы и
ЦБ должны по согласованию с ФСТЭК сформировать перечни типовых отраслевых
объектов КИИ, включающих в себя типы информационных систем и выполняемых ими
функций и видов деятельности. Если субъекты КИИ предоставят недостоверные или
неполные сведения об объектах, то ФСТЭК в течение 30 дней может направить
организациям требования об устранении нарушений. Организация же в течение 10
дней должна исправить недоработки, на которые обратил внимание регулятор.
Штрафы за неисполнение требований регулятора или неисправление нарушений в
документе не прописаны, отмечают «Ведомости».
Согласно законопроекту, помимо формирования перечня типовых объектов КИИ
правительство должно будет установить порядок закупок и использования
телекомоборудования и программно-аппаратных комплексов (ПАК) иностранного
происхождения. Также Минцифры предлагает наделить правительство и ЦБ
полномочиями устанавливать порядок и сроки перехода финансовых организаций –
субъектов КИИ на «преимущественное использование российского ПО и отечественной
радиоэлектронной продукции, в том числе телекомоборудования и ПАК, на
принадлежащих им значимых объектах КИИ».
После внесения изменений в закон могут быть дополнительно приняты
подзаконные акты, говорится в документе. В частности, в течение полугода после
вступления в действие закона должны быть закреплены в форме постановлений
правительства требования к ПО, радиоэлектронной продукции, используемых на
значимых объектах КИИ. Также в указанный период будут установлены сроки,
порядок перехода и мониторинга субъектов КИИ, пишут «Ведомости».