Импортозамещение СЗИ и ПО: запрет иностранного, реестр отечественного и что делать оператору
Кого и с каких сроков касается запрет иностранных средств защиты информации и программного обеспечения: Указ Президента №250 (СЗИ из недружественных государств), Указ №166 и 187-ФЗ (иностранное ПО на значимых объектах КИИ), реестр российского ПО и госзакупки. Практические шаги для оператора по переходу на отечественные сертифицированные решения.
Курс на отечественные решения в информационной безопасности закреплён рядом актов: часть организаций уже не вправе использовать иностранные средства защиты и ПО. Разберём, кого это касается, с каких сроков и что делать оператору.
Кого касается импортозамещение
Требования об отказе от иностранных решений адресованы прежде всего государственному сектору и критической инфраструктуре, а не любому бизнесу:
- органы и организации из сферы Указа Президента РФ №250 (госорганы, госфонды, госкорпорации, субъекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ., системообразующие и стратегические организации);
- субъекты КИИ, эксплуатирующие значимые объекты;
- государственные и муниципальные заказчики при закупках.
Ключевые запреты и сроки
- СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК. из недружественных государств. Для адресатов Указа №250 с 1 января 2025 года не допускается использование средств защиты информации, странами происхождения которых являются недружественные государства либо производителями которых являются подконтрольные им организации.
- Иностранное ПО на значимых объектах КИИ. По Указу Президента РФ от 30.03.2022 №166 закупка иностранного ПО (в том числе в составе программно-аппаратных комплексов) для использования на значимых объектах КИИ требует согласования с 31 марта 2022 года, а с 1 января 2025 года использование иностранного ПО на значимых объектах КИИ запрещено.
- Госзакупки. При закупках для государственных и муниципальных нужд действует запрет допуска отдельного иностранного ПО при наличии российских аналогов (реестр российского ПО).
Курс на импортозамещение для значимых объектов КИИ задан Указами Президента №166 и №250, законом о КИИ (187-ФЗ) и подзаконными актами; регулирование продолжает развиваться.
Реестр российского ПО
Отечественное происхождение программного обеспечения подтверждается включением в единый реестр российских программ для ЭВМ и баз данных (статья 12.1 149-ФЗ), который ведёт Минцифры России. При выборе и закупке решений ориентируются на этот реестр, а для средств защиты — дополнительно на реестр сертифицированных ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России средств защиты информации.
Что делать оператору
- определите, попадаете ли вы в сферу Указа №250 и есть ли у вас значимые объекты КИИ;
- проведите инвентаризацию используемых СЗИ и ПО, отметьте иностранные компоненты;
- спланируйте замену на отечественные сертифицированные решения из реестров, с учётом сроков и совместимости;
- для оценки защищённости и работ привлекайте лицензиатов ФСТЭК России и (или) ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России.
Кого касается Указ №250 и какие требования он вводит — в статье о квалификационных требованиях к специалистам по ИБ; про субъектов КИИ — в статье про 187-ФЗ.
Главное
Импортозамещение в ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз. обязательно не для всех, а прежде всего для адресатов Указа №250 и субъектов КИИ со значимыми объектами: для них с 1 января 2025 года действует запрет на СЗИ из недружественных государств, а на значимых объектах КИИ ограничено использование иностранного ПО. Отечественность подтверждается реестром российского ПО (Минцифры) и реестром сертифицированных СЗИ (ФСТЭК). Оператору стоит провести инвентаризацию, спланировать замену и привлекать лицензиатов ФСТЭК/ФСБ.