В мае я уже писал про проекты двух примечательных по своей значимости и некомпетентности проектов нормативных актов, которые обязывают всех субъектов КИИ перевести все свои объекты КИИ на отечественное ПО и железо. И вот на днях на портале regulations.gov.ru был выложен обновленный текст проекта Постановления Правительства "Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции". Ранее, в ноябре был выложен обновленный проект Указа Президента. Давайте посмотрим, что там изменилось?
Если тезисно, то картина получается следующая:
- Переход на преимущественно отечественное ПО должен произойти до 1-го января 2023 года, а на отечественное железо до 1-го января 2024 года. Первоначально сроки были установлены просто дикие - 1-е января 2020-го и 2021-го годов соответственно. По итогам доработки проектов НПА сроки были сдвинуты на 2024-й и 2025-й годы, но в финальном проекте сроки были установлены в виде 2023-го и 2024 годов соответственно. На мой взгляд все варианты нереальны, но судя по всему именно последний вариант и попадет в подписываемый Указ Президента, чего ждать осталось недолго, если не вмешается Провидение.
- Под требования попадают все объекты КИИ независимо от их категории значимости и даже обычный ломбард или сельская поликлиника должны будут перейти на преимущественно отечественные ПО и железо. Попытки сообщества и достаточно серьезных лоббистов объяснить авторам нелепость этого требования не увенчались успехом - Минцирк (или те, кто стоят за ними) заявил, что иначе все субъекты КИИ будут занижать категории своей значимости, а то и вовсе обходить категорирование стороной. Так что готовимся к повсеместному внедрению отечественного софта и оборудования.
- Название нового проекта ПП теперь касается не только ПО или оборудования, как раньше. Вместо термина "оборудование" стали применять "телекоммуникационное оборудование и радиоэлектронная продукция". Хотя сами требования от этого не поменялись - они и раньше покрывали телеком-железо и РЭП.
- Требования касаются не только нового ПО и железа, но и уже установленного на объектах КИИ.
- До 1-го июля 2021 года необходимо утвердить план перехода на преимущественно отечественное ПО и железо. А перед утверждением плана надо провести аудит используемых ИТ-активов, провести их анализ и факт присутствия в реестрах отечественного всего и вся, после чего, в случае осутствия в реестрах, направить перечень такого ПО и железа на согласование в Минцифру (для ПО) и в Минпроторг (для железа). На все про все осталось 5 с небольшим (!) месяцев. Как за это время провести хотя бы аудит имеющегося, я не представляю.
- Интересный момент, на который стоит обратить внимание и о котором я уже как-то писал (тут и тут). Неважно, в России разработано ПО или нет. Главное, чтобы оно было в реестре. А, например, средства защиты попадают в реестр только после получения сертификата ФСТЭК или ФСБ, что приводит к интересным коллизиям, о которых мало кто говорит. Например, выпустил какой-нибудь отечественный вендор МСЭ или антивирус или криптографический шлюз, а продать в КИИ не может, так как продукт или конкретная его версия не включена в реестр из-за отсутствия (понятно, что временного) сертификата регулятора. Парадокс, но именно так это и работает. Знаю кейс, когда именитому вендору отказали во включении в реестр Минцифры именно по причине отсутствия сертификата (хотя предыдущая версия ПО в этом реестре была).
- А что с иностранным ПО и железом? Неужели все и использовать его нельзя? Нет, все не так печально. Есть разъяснения Минцифры, в которых говорится, что можно продолжать использовать невключенное в реестры ПО и оборудование, но при условии соответствующего обоснования, которое многие уже научились писать еще лет пять назад, когда только началась политика импортозапрещения в госорганах. Теперь эта практика перейдет и к коммерческим предприятиям.
