Современный мир невозможно представить без бесперебойной работы информационных систем. Они управляют электроэнергетикой, транспортом, здравоохранением, финансами и множеством других сфер нашей жизни. Именно поэтому возникло понятие критической информационной инфраструктуры, которое объединяет системы, жизненно важные для функционирования общества. Понимание функционирования и защищенности критической информационной инфраструктуры является не только технической задачей, но и важным элементом национальной безопасности. Ведь атака на критические системы может привести к масштабным экономическим и социальным последствиям. А с 2022 года данная проблема в России встала особенно остро.
Для начала стоит разобраться с понятием критической информационной инфраструктуры. Критическая информационная инфраструктура – это различные информационные системы, беспрерывное функционирование которых критически необходимо для существования и развития государства.
Впервые понятие критической информационной инфраструктуры в Российской Федерации было введено в 2017 году с принятием Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Тогда, к критической информационной инфраструктуре причислили информационные системы в таких отраслях, как здравоохранение, наука, транспорт, связь, энергетика, промышленность и финансовый сектор. К таким информационным системам стали применяться повышенные требования к защите информации и используемых программных средствах [1].
Еще в 2020 году Министерство цифрового развития, связи и массовых коммуникаций РФ предложила обязать использовать на объектах критической информационной инфраструктуры только отечественное программное обеспечение с 2021 года и только отечественное оборудование с 2022 года [2]. Еще тогда это предложение восприняли негативно, аргументируя точку зрения тем, что такое импортозамещение в одной только банковской отрасли обойдется более, чем в 700 миллиардов рублей, и потребует не менее 5 лет [3]. В результате сроки импортозамещения продлили до 2024 и 2025 года, соответственно.
В связи с новой геополитической ситуацией, в 2022 году импортозамещение критической информационной инфраструктуры стало одной из главных проблем в России, что побудило создание новых нормативно-правовых актов в области критической информационной инфраструктуры, которые приведены ниже.
30 марта 2022 г. Президент Российской Федерации Владимир Путин принял указ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», согласно которому с 31 марта 2022 г. запрещается закупка иностранного программного обеспечения для значимых объектов критической информационной инфраструктуры (за исключением организаций с муниципальным участием), а с 1 января 2025 г. – использование иностранного программного обеспечения на них [4].
В Указе Президента Российской Федерации № 250 от 1 мая 2022 г. «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» уточнили, что под вышесказанным иностранным программным обеспечением подразумеваются средства защиты информации, созданные в недружественных иностранных государствах или связанные с правительствами иностранных государств [5].
22 августа 2022 г. было принято Постановление Правительства Российской Федерации № 1478. Данное постановление утвердило требования к программному обеспечению и программно-аппаратным комплексам, которое закупается в соответствии с Федеральным законом № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» для значимых объектов критической информационной инфраструктуры, правила согласования закупок иностранного программного обеспечения для значимых объектов критической информационной инфраструктуры, а также правила перехода на преимущественное использование российского программного обеспечения на значимых объектах критической информационной инфраструктуры. В соответствии с постановлением:
- используемое на значимых объектах критической информационной инфраструктуры программное обеспечение должно быть включено в единый реестр российских программ для электронных вычислительных машин и баз данных или в единый реестр программ для электронных вычислительных машин и баз данных из государств – членов Евразийского экономического союза, за исключением Российской Федерации;
- для согласования возможности закупки иностранного программного обеспечения заказчики должны обратиться в соответствующий им уполномоченный федеральный орган исполнительной власти (табл.) [6].
Таблица
Федеральные органы для согласования закупки иностранного программного обеспечения
| Сфера (область деятельности) | Уполномоченный орган |
| Здравоохранение | Министерство здравоохранения Российской Федерации |
| Наука | Министерство науки и высшего образования Российской Федерации |
| Транспорт | Министерство транспорта Российской Федерации |
| Связь | Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации |
| Банки | Министерство финансов Российской Федерации |
| Финансовый рынок | |
| Энергетика | Министерство энергетики Российской Федерации |
| Топливно-энергетический комплекс | |
| Горнодобывающая, металлургическая, ракетно-космическая, оборонная, химическая промышленность | Министерство промышленности и торговли Российской Федерации |
| Атомная энергия |
14 ноября 2023 г. было принято Постановление Правительства Российской Федерации № 1912. Основные пункты этого постановления следующие:
- с 1 сентября 2024 г. на значимых объектах критической информационной инфраструктуры запрещается использование доверенных программного-аппаратных комплексов (доверенные комплексы должны находиться в Едином реестре российской радиоэлектронной продукции, соответствовать требованиям Федерального закона № 223-ФЗ и иметь сертификат соответствия требованиям Федеральной службы по таможенному и экспортному контролю и/или Федеральной службы безопасности Российской Федерации); исключениями являются программно-аппаратные комплексы, закупленные до 1 сентября 2024 г. или не имеющие произведенных в Российской Федерации аналогов (подтверждается Министерством промышленности и торговли Российской Федерации);
- субъекты критической информационной инфраструктуры должны перейти на преимущественное использование доверенных программно-аппаратных средств до 1 января 2030 г. [7].
21 марта 2024 г. в Государственную Думу был внесен законопроект № 581689-8 «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». Указанные в законопроекте положения расширяют полномочия Правительства Российской Федерации. На данный момент организации в соответствующих отраслях сами принимают решения о принадлежности к критической информационной инфраструктуре, что для некоторых позволяет обходить новые требования к объектам критической информационной инфраструктуры и, следовательно, снижать свои расходы. Новый законопроект предназначен для борьбы с этим, давая Правительству право определять принадлежность тех или иных информационных систем к объектам критической информационной инфраструктуры для повышения безопасности критической информационной инфраструктуры. В случае принятия данного законопроекта данные изменения вступят в силу с 1 марта 2025 г. На момент написания данной статьи законопроект планируется к рассмотрению в первом чтении [8].
В заключении можно сказать, что импортозамещение в критической информационной инфраструктуре – это не просто замена зарубежных решений на отечественные аналоги. Это комплексный процесс, требующий системного подхода, стратегического планирования и значительных инвестиций. Для успешного импортозамещения необходимы хорошие отечественные технологии, квалифицированные кадры и строгая система сертификации. Импортозамещение в критической информационной инфраструктуре не является целью само по себе. Это инструмент, который позволяет обеспечить национальную безопасность, устойчивое развитие и конкурентоспособность российской экономики. Успех этого процесса зависит от сотрудничества всех участников: от государства до частного бизнеса.
