Указ №166 и критическая информационная инфраструктура России
Вчера, 30 марта 2022 года, Президент России Владимир Путин подписал указ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», согласно которому госорганам запрещается использовать иностранное ПО на объектах критической информационной инфраструктуры с 1 января 2025 г.
Кроме того, указ предусматривает запрет на государственные закупки иностранного ПО для критической инфраструктуры без согласования со специальным федеральным органом исполнительной власти. Орган власти будет уполномочен правительством позже.
В связи с новым Указом посмотрим внимательнее на российскую критическую информационную инфраструктуру.
О Реестре критической информационной инфрастуктуры России
Напомним, в декабре 2017 года вышел приказ ФСТЭК №227, который утверждал порядок ведения реестра значимых объектов критической информационной структуры страны. Кроме наименования объекта и субъекта КИИ в реестре также отмечается категория значимости объекта и сведения о применяемом ПО и аппаратных средствах. Сфер деятельности, в которых функционируют объекты критической информационной инфраструктуры, всего 12: химическая промышленность, металлургическая промышленность, горнодобывающая промышленность, ракетно-космическая промышленность, оборонная промышленность, атомная энергетика, энергетика и топливно-энергетический комплекс, банковская сфера и иные сферы финансового рынка, а также связь, транспорт, наука и здравоохранение.
Среди типов объектов критической информационной инфраструктуры выделяются информационные системы, системы управления технологическими процессами и телекоммуникационные сети.
Чуть позже, в 2018 году, был утвержден Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации. В частности, категории назначаются в зависимости от способности нанести ущерб жизни и здоровью людей в случае сбоев (примерами являются объекты водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнические сооружения), по количеству людей, для которых могут быть недоступны транспортные услуги, в зависимости от площади территории, на которой возможны перебои связи, а также длинный ряд других критериев.
К слову, 1 февраля 2022 года ФСТЭК были разработаны поправки в Кодекс об административных правонарушениях РФ и предусмотрено внесение изменений в статью 19.7.15 КОаП в части ответственности субъектов критической информационной инфраструктуры за предоставление неактуальных или недостоверных сведений для внесения в реестр значимых объектов КИИ РФ.
Отметим, что по официальным данным ФСТЭК на 2020 год количество объектов критической информационной инфрастукруры в Реестре составляло порядка 50 тыс единиц, при этом в 55% случаев не было выполнено категорирование объекта.