В статье проводится анализ Указа Президента Российской Федерации от 30 марта 2022 года № 166 в части регулирования безопасности значимых объектов критической информационной инфраструктуры. Исследуется влияние импортозамещения на повышение безопасности объектов критической информационной инфраструктуры. Рассматриваются вопросы перехода на отечественное программное обеспечения с точки зрения информационной безопасности, экономической целесообразности и юридической обоснованности.
Ключевые слова : безопасность критической информационной инфраструктуры, импортозамещение, значимые объекты критической информационной инфраструктуры, средства защиты информации, отечественное программное обеспечение.
The article analyzes the Decree of the President of the Russian Federation dated March 30, 2022 No. 166 in terms of regulating the security of significant objects of critical information infrastructure. The influence of import substitution on improving the security of critical information infrastructure facilities is investigated. The issues of transition to domestic software from the point of view of information security, economic feasibility and legal validity are considered.
Keywords: security of critical information infrastructure, import substitution, significant objects of critical information infrastructure, information protection tools, domestic software.
Текущая международная обстановка характеризуется повышенным санкционным давлением на экономику Российской Федерации. Вводятся ограничения на поставку полупроводников и высокотехнологическую продукцию. Все эти меры призваны снизить экономический и технологический рост страны. Поэтому на первый план выходят вопросы импортозамещения и обеспечения технологической независимости. В первую очередь эти вопросы тесно связаны с обеспечением безопасности значимым объектов критической информационной инфраструктуры РФ (далее — ЗОКИИ). Деструктивные информационные воздействия на ЗОКИИ могут привести к политическим, финансовым и человеческим потерям. В сочетании с большим процентом иностранного программного обеспечения и оборудования, используемых в ЗОКИИ, сценарий успешного проникновения злоумышленника в систему управления техническими процессами кажется уже не таким маловероятным. Военная доктрина Союзного государства [2] определяет вывод из строя предприятий энергетики (прежде всего атомной), химических и других опасных производств, инфраструктуры, коммуникаций, объектов жизнеобеспечения, как основную черту современных войн.
Следовательно, обеспечение безопасности ЗОКИИ, в том числе и информационной безопасности является задачей устойчивого развития и обеспечения национальной безопасности РФ. Одним из способов обеспечения безопасности ЗОКИИ является внедрение разработок отечественных производителей. Так Указом Президента от 30 марта 2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» [3] (далее — Указ) были установлены запреты на закупку иностранного программного обеспечения (далее — ПО) с 31 марта 2022 года и использование иностранного ПО с 1 января 2025 года органами государственной власти и заказчиками, осуществляющие закупки в соответствии с 223-ФЗ, на принадлежащих им ЗОКИИ.
Правительству РФ в данном Указе отводится центральная роль. Ему необходимо утвердить требования к ПО, правила согласования закупок. Но самое главное, что Правительству поставлена масштабная задача по переходу на преимущественное применение субъектами КИИ отечественной радиоэлектронной продукции и телекоммуникационного оборудования, создание научно-производственного объединения, специализирующегося на разработке такой продукции и оборудования. Внесение изменений в законодательство также является частью комплекса мероприятий, поставленного перед Правительством.
В качестве анализа Указа интересны два момента — это отказ от закупки иностранного ПО и преимущественное использование отечественной радиоэлектронной продукции и телекоммуникационного оборудования на ЗОКИИ.
Среди причин перехода на российское ПО выделяют:
— обеспечение национальной безопасности;
— противодействие санкциям;
— поддержка отечественных разработчиков.
Вопросы противодействия санкциям и поддержание отечественных разработчиков больше относится не к вопросу информационной безопасности, а обеспечению технологической независимости государства и для данного исследования не актуальны.
Для использования на ЗОКИИ программного обеспечения необходима его сертификация по «Требованиям по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» [4] и «Методике выявления уязвимостей и недекларированных возможностей в программном обеспечении» [5]. Так для ЗОКИИ 1, 2, 3 категории программное обеспечение должно отвечать 4, 5, 6 уровням доверия соответственно. Требования доверия в свою очередь содержат информирование потребителей об обновлении ПО средства и доведение до потребителей данных обновлений.
В связи с прекращением технической поддержки, находящихся под санкциями США, российских компаний, стало невозможным получение актуальных патчей обновлений безопасности, что в свою очередь привело к массовой приостановке и прекращению сертификатов ФСТЭК России. Основанием, предположительно, стал п.89 приказа ФСТЭК России от 03.04.2018 N 55 [6] — действие сертификата соответствия прекращается в случае невозобновления заявителем в установленный срок технической поддержки средства защиты информации. Однако, официальной информации о причинах отзыва сертификатов с ссылками на нормативные акты в открытых источниках не имеется. Стоить отметить, что для одних производителей установили срок, в течении которого заявитель должен возобновить техническую поддержку — не более 90 суток, для других полностью прекратили действие сертификата. К поставщикам программного обеспечения, действие сертификатов которых прекращено относятся Vmware, Symantec, Veeam, Microsoft, ABB, TTC Marconi, IBM, Fortinet, Trend Micro, Cisco, SAP и т. д. К этому списку могут добавится поставщики, действие сертификатов которых приостановлено, а именно Huawei, ESET, Softline, CommuniGate Systems и т. д.
Прекращение или приостановление действия сертификата влечет прекращение производства и реализации сертифицированного средства защиты информации [6]. В информационном сообщении ФСТЭК России [7], какого — либо особого порядка дальнейшего использования СЗИ не имеется. В общем порядке, использование СЗИ не имеющего сертификата влечет административную ответственность, предусмотренную ч.2 ст. 13.12 Кодекса РФ об административных правонарушениях [1] (далее — КоАП).
Пользователям, использовавшим СЗИ, с отозванным сертификатом, необходимо заменить его, а это не только закупка нового СЗИ, но и внесение изменений в аттестат, с проведением соответствующих работ по настройке, наладке и измерений. Невыполнение данных мероприятий грозит дополнительными санкциями в виде административной ответственности по ч.6 ст. 13.12 КоАП [1].
В текущей ситуации пользователи СЗИ могут быть поставлены в затруднительную ситуацию, при которой могут потребоваться дополнительные траты на закупку сертифицированного СЗИ и адаптацию на объекте КИИ.
Прекращение действия сертификатов затронет не всех владельцев ЗОКИИ. Одни из самых распространенных ОС производства Microsoft Windows Server 2016 и Windows 10 были сертифицированы по 6 уровню доверия, что позволяло использовать их только в ЗОКИИ не выше 3 категории. Следовательно, прекращение действия сертификатов СЗИ не должно сказаться как на безопасности ЗОКИИ первой и второй категории, так и на их материальном положении.
Массовый переход на отечественное ПО может негативно сказаться на текущих бизнес-процессах. Под новую ОС необходимо адаптировать прежнее ПО, при этом процесс должен быть непрерывным, иначе непременно возникнут денежные издержки. С одной стороны запрет со стороны государства использовать иностранное ПО мог бы навредить бизнесу, а с другой стороны такой переход может стать вынужденной мерой и без вмешательства государства. В текущей ситуации необходимо расширять ассортимент отечественного ПО, которое сможет стать достойной альтернативой и переход на которое будет максимально быстрым и безболезненным.
Также, нерешенным остался вопрос с федеральным органом исполнительной власти, уполномоченным Правительством Российской Федерации на согласование закупок иностранного ПО. До издания постановления Правительства осуществление закупок стало невозможным. Новые закупки не осуществляются, а те, что были в работе отменяются или приостанавливаются. Все это несет временные и финансовые затраты, а с учетом значимости объектов КИИ это может повлечь гораздо большие потери.
Вывод. Импортозамещение и переход на отечественное программное обеспечениеснижает риски отказа в технической поддержке производителем, повышает уровень доверия к ПО, позволяет развивать собственные технологии, что не может не сказаться в лучшую сторону на безопасности критической информационной инфраструктуры.
Запрет на использование иностранного программного обеспечения коснется органов государственной власти и заказчиков, осуществляющие закупки в соответствии с 223-ФЗ, которым принадлежат ЗОКИИ третьей категории. Данный запрет затронет небольшой круг организаций, в отличии от вынужденного решения ФСТЭК России об отзыве сертификатов СЗИ, техническая поддержка которых была прекращена. Для перехода на новые СЗИ не установлен ни порядок действий, ни период времени, в течении которого этот переход должен быть осуществлен. Пользователям СЗИ необходимо будет изыскивать средства и время для перехода на новые сертифицированные СЗИ, не забывая о том, что оставшиеся иностранные продукты также могут быть исключены из реестра ФСТЭК России в любой момент.
Литература:
- Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ // СЗ РФ от 7 января 2002 г. N 1 (часть I) ст. 1.
- Постановление Высшего Государственного Совета Союзного государства Беларуси и России от 4 ноября 2021 г. N 5 «О Военной доктрине Союзного государства». // Текст постановления опубликован не был.
- Указ Президента РФ от 30 марта 2022 г. N 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» // СЗ РФ от 4 апреля 2022 г. N 14 ст. 2242.
- Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (утв. приказом ФСТЭК России от 2 июня 2020 г. N 76) (выписка) // Текст требований опубликован не был.
- Методика выявления уязвимостей и недекларированных возможностей. Утверждена ФСТЭК России 11 февраля 2019 г. // Текст методики опубликован не был.
- Приказ Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55 «Об утверждении Положения о системе сертификации средств защиты информации» // Текст приказа опубликован на «Официальном интернет-портале правовой информации» (www.pravo.gov.ru) 14 мая 2018 г.
- Информационное сообщение ФСТЭК России. [Электронный ресурс]. Режим доступа: https://fstec.ru/127-lenta-novostej/1656-informatsionnoe-soobshchenie-18 (дата обращения 26.04.2022).