С 1 сентября 2024 года субъекты КИИ смогут эксплуатировать исключительно доверенные программы и техсредства. Однако власти предусмотрели ряд исключений для ПАК. Например, разрешено не пользоваться программой, приобретенной до этой даты, или если у этого ПАК нет аналогов из списка доверенных.
Правила перехода субъектов КИИ к эксплуатации ПАК
Чтобы перейти на преимущественное использование программно-аппаратных комплексов, необходимо следовать специальному плану перехода. Он составляется в соответствии с Приложением № 2 к правилам перехода. При этом госорганы требуют индивидуального подхода к составлению в зависимости от сферы деятельности компании. Такие документы называются отраслевыми.
Итак, после утверждения отраслевого плана уполномоченные органы в течение 20 рабочих суток направляют готовый вариант организации, работающей с субъектом КИИ. Субъекты КИИ, в свою очередь, на основании полученного документа составляют индивидуальный план в соответствии с Приложением № 3. В нем организация обязана указать ряд сведений:
- общие данные о субъекте КИИ;
- список значимых субъектов КИИ, принадлежащих этому субъекту, данные о котором есть в спецреестре;
- данные об эксплуатируемом ПАК;
- плановые и фактические доли доверенных ПАК, которые использует субъект КИИ;
- прогнозируемый объем расходов субъекта КИИ по реализации плана перехода.
После того, как сведения поступят в госорган, представители последнего в течение месяца его рассмотрят и решат вносить ли его в список аналогичных планов. Если вердикт будет положительным, то уполномоченные органы оповестят компанию о нем в течение 5 рабочих дней, а дальше будут вести специальный отчет.
По стандарту план перехода утверждает руководитель субъекта КИИ, а затем в течение последующих 10 дней отправляет в уполномоченные органы, соблюдая требования законодательства в отношении гостайны.
Отметим, организация вправе при определенных обстоятельствах изменить план. Для этого нужно отправить копию утвержденного документа, приложив сопроводительное письмо с правками. Далее уполномоченный орган повторит те же действия, что и при утверждении: в течение месяца рассмотрит, а в последующие 5 дней сообщит о решении.
Требования к ПАК
Критерии признания программно-аппаратных комплексов таковыми перечислены в Приложении № 1 к правилам перехода. Главным образом, они должны быть включены в единый перечень российской электроники, иметь документ от ФСТЭК либо ФСБ. Подтверждающий документ от госслужбы безопасности потребуется для ПАК, у которых есть функция защиты информации.
В остальном программное обеспечение, на котором работает ПАК, должно соответствовать еще двум требованиям:
- сведения об этом ПО включены не только в единый реестр программ РФ для ЭВМ, но и в аналогичный перечень, но для стран ЕАЭС;
- безопасность и эффективность программ, предназначенных для защиты от кибератак, ликвидации последствий от последних и подобного рода проблем, подтверждена госслужбами, включая ФСБ.
По словам властей, перейти к 100%-ой доле доверенных ПАК на объектах КИИ необходимо до 1 января 2030 года.