ПП №1912
Действующая редакция
с 26 декабря 2024
Описание Постановления Правительства РФ № 1912
Объекты регулирования:
- субъекты критической информационной инфраструктуры (КИИ), имеющие значимые объекты КИИ (ЗОКИИ);
- федеральные органы исполнительной власти и российские юридические лица, ответственные за организацию перехода на доверенные программно-аппаратные комплексы (ПАК);
- организации, участвующие в разработке, производстве и сопровождении доверенных ПАК.
Самое главное:
Постановление № 1912 устанавливает механизм перехода всех субъектов КИИ на преимущественное использование доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах КИИ.
Основная цель: к 31 декабря 2029 года доля доверенных ПАК на всех ЗОКИИ должна составить 100%. Также постановление:
- определяет сроки запрета использования новых недоверенных ПАК (с 1 сентября 2024 г.);
- вводит обязанность разработки планов перехода субъектов КИИ;
- закрепляет роли уполномоченных органов в разных отраслях;
- определяет процедуры контроля, учета, согласования и ежегодной отчетности.
Используемые термины:
Программно-аппаратный комплекс (ПАК) - радиоэлектронная продукция (включая телекоммуникационное оборудование), технические средства и ПО, работающие совместно для выполнения задач.
Доверенный программно-аппаратный комплекс - ПАК, соответствующий всем критериям:
- включён в Единый реестр российской радиоэлектронной продукции;
- используемое ПО внесено в реестр отечественного ПО МинЦифры;
- при наличии функций защиты информации - сертифицирован по требованиям ФСТЭК / ФСБ.
Преимущественное применение доверенных ПАК - применение таких ПАК на всех ЗОКИИ с достижением 100% доли доверенных ПАК к 31.12.2029.
Основные положения постановления:
Переход осуществляется до 1 января 2030 года.
С 1 сентября 2024 года запрещено использование новых недоверенных ПАК, приобретённых после этой даты, если есть российские доверенные аналоги. Исключение - отсутствие российских аналогов, подтверждаемое заключением Минпромторга.
Уполномоченные органы по отраслям:
Определены органы, ответственные за организацию перехода в своих сферах, например:
- Министерство здравоохранения Российской Федерации - в сфере здравоохранения;
- Министерство науки и высшего образования Российской Федерации - в сфере науки;
- Министерство транспорта Российской Федерации - в сфере транспорта;
- Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации - в сфере связи;
- Министерство энергетики Российской Федерации - в сферах энергетики и топливно-энергетического комплекса;
- Министерство промышленности и торговли Российской Федерации - в области оборонной, горнодобывающей, металлургической и химической промышленности;
- Министерство финансов Российской Федерации - в банковской сфере и иных сферах финансового рынка (за исключением вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, а также субъектов критической информационной инфраструктуры Российской Федерации, созданных Российской Федерацией в целях осуществления государством пенсионного обеспечения, обязательного пенсионного страхования и обязательного социального страхования, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации);
- Федеральная служба государственной регистрации, кадастра и картографии - в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
- Государственная корпорация по атомной энергии «Росатом» - в области атомной энергии;
- Государственная корпорация по космической деятельности «Роскосмос» - в области ракетно-космической промышленности;
- Центральный банк Российской Федерации - в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации).
- Министерство труда и социальной защиты Российской Федерации - в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, созданных Российской Федерацией в целях осуществления государством пенсионного обеспечения, обязательного пенсионного страхования и обязательного социального страхования, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации).
Каждый уполномоченный орган обязан:
- назначить ответственное должностное лицо (не ниже замруководителя);
- утвердить отраслевой план перехода, содержащий:
- мероприятия по переходу субъектов КИИ;
- оценочные, прогнозные и фактические доли доверенных ПАК;
- перечни типов ПАК и их характеристик.
Планы перехода имеют ограничительную пометку «Для служебного пользования», если уполномоченным органом не присвоен гриф секретности. Актуализация - ежегодно до 1 мая.
Планы перехода субъектов КИИ
Каждый субъект КИИ обязан разработать собственный план перехода (по форме Приложения № 3 к Постановлению 1912), утвердить руководителем (а также согласовать с уполномоченным органом по отрасли - при необходимости) и в течении 10 рабочих дней направить утверждённый план уполномоченному органу:
- до 1 января 2025 г., если ЗОКИИ включены в реестр до 01.09.2024;
- в течение 4 месяцев после включения нового ЗОКИИ в реестр.
Изменение планов
Субъект обязан внести изменения, если:
- получил уведомление об исправлении;
- в реестр ЗОКИИ включены новые объекты;
- субъект решил обновить план самостоятельно.
Новая редакция плана проходит ту же процедуру рассмотрения и включения в реестр.
Информационный обмен
Установлены цепочки передачи данных:
- Субъект КИИ → Уполномоченный орган - ежегодные отчёты до 1 марта;
- Уполномоченный орган → Минпромторг - выписка и отчёт до 1 апреля;
- Минпромторг → Правительство РФ - сводные отчёты до 1 мая.
Потенциальные риски несоблюдения
Хотя постановление напрямую не содержит санкций, несоблюдение его требований приводит к:
- невозможности категорирования/перекатегорирования объектов;
- рискам применения мер со стороны регуляторов (ФСТЭК, ФСБ, ЦБ РФ).
1. Административные и финансовые санкции
Статьи:
- Статья 13.12 КоАП РФ - ответственность за нарушение требований к обеспечению безопасности информации;
- Статья 13.12.1 КоАП РФ - ответственность за нарушение требований к созданию систем безопасности ЗОКИИ и обеспечению их функционирования;
Риски: штрафы от 5000 до 100 000 рублей.
2. Уголовная ответственность
Статьи:
- Статья 274.1 УК РФ - ответственность за нарушение правил эксплуатации средств хранения, обработки и передачи информации КИИ, а также правил доступа, если это повлекло причинение вред КИИ.
Риски: принудительные работы до 5 лет или лишение свободы до 6 лет, с возможным запретом занимать должности до 3 лет.
