ПП №1912

ПП №1912

«О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»

Описание Постановления Правительства РФ № 1912

Объекты регулирования:

  • субъекты критической информационной инфраструктуры (КИИ), имеющие значимые объекты КИИ (ЗОКИИ);
  • федеральные органы исполнительной власти и российские юридические лица, ответственные за организацию перехода на доверенные программно-аппаратные комплексы (ПАК);
  • организации, участвующие в разработке, производстве и сопровождении доверенных ПАК.

Самое главное:

Постановление № 1912 устанавливает механизм перехода всех субъектов КИИ на преимущественное использование доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах КИИ.

Основная цель: к 31 декабря 2029 года доля доверенных ПАК на всех ЗОКИИ должна составить 100%. Также постановление:

  • определяет сроки запрета использования новых недоверенных ПАК (с 1 сентября 2024 г.);
  • вводит обязанность разработки планов перехода субъектов КИИ;
  • закрепляет роли уполномоченных органов в разных отраслях;
  • определяет процедуры контроля, учета, согласования и ежегодной отчетности.

Используемые термины:

Программно-аппаратный комплекс (ПАК) - радиоэлектронная продукция (включая телекоммуникационное оборудование), технические средства и ПО, работающие совместно для выполнения задач.

Доверенный программно-аппаратный комплекс - ПАК, соответствующий всем критериям:

Преимущественное применение доверенных ПАК - применение таких ПАК на всех ЗОКИИ с достижением 100% доли доверенных ПАК к 31.12.2029.

Основные положения постановления:

Переход осуществляется до 1 января 2030 года.

С 1 сентября 2024 года запрещено использование новых недоверенных ПАК, приобретённых после этой даты, если есть российские доверенные аналоги. Исключение - отсутствие российских аналогов, подтверждаемое заключением Минпромторга.

Уполномоченные органы по отраслям:

Определены органы, ответственные за организацию перехода в своих сферах, например:

  • Министерство здравоохранения Российской Федерации - в сфере здравоохранения;
  • Министерство науки и высшего образования Российской Федерации - в сфере науки;
  • Министерство транспорта Российской Федерации - в сфере транспорта;
  • Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации - в сфере связи;
  • Министерство энергетики Российской Федерации - в сферах энергетики и топливно-энергетического комплекса;
  • Министерство промышленности и торговли Российской Федерации - в области оборонной, горнодобывающей, металлургической и химической промышленности;
  • Министерство финансов Российской Федерации - в банковской сфере и иных сферах финансового рынка (за исключением вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, а также субъектов критической информационной инфраструктуры Российской Федерации, созданных Российской Федерацией в целях осуществления государством пенсионного обеспечения, обязательного пенсионного страхования и обязательного социального страхования, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации);
  • Федеральная служба государственной регистрации, кадастра и картографии - в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
  • Государственная корпорация по атомной энергии «Росатом» - в области атомной энергии;
  • Государственная корпорация по космической деятельности «Роскосмос» - в области ракетно-космической промышленности;
  • Центральный банк Российской Федерации - в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации).
  • Министерство труда и социальной защиты Российской Федерации - в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, созданных Российской Федерацией в целях осуществления государством пенсионного обеспечения, обязательного пенсионного страхования и обязательного социального страхования, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации).

Каждый уполномоченный орган обязан:

  • назначить ответственное должностное лицо (не ниже замруководителя);
  • утвердить отраслевой план перехода, содержащий:
    • мероприятия по переходу субъектов КИИ;
    • оценочные, прогнозные и фактические доли доверенных ПАК;
    • перечни типов ПАК и их характеристик.

Планы перехода имеют ограничительную пометку «Для служебного пользования», если уполномоченным органом не присвоен гриф секретности. Актуализация - ежегодно до 1 мая.

Планы перехода субъектов КИИ

Каждый субъект КИИ обязан разработать собственный план перехода (по форме Приложения № 3 к Постановлению 1912), утвердить руководителем (а также согласовать с уполномоченным органом по отрасли - при необходимости) и в течении 10 рабочих дней направить утверждённый план уполномоченному органу:

  • до 1 января 2025 г., если ЗОКИИ включены в реестр до 01.09.2024;
  • в течение 4 месяцев после включения нового ЗОКИИ в реестр.

Изменение планов

Субъект обязан внести изменения, если:

  • получил уведомление об исправлении;
  • в реестр ЗОКИИ включены новые объекты;
  • субъект решил обновить план самостоятельно.

Новая редакция плана проходит ту же процедуру рассмотрения и включения в реестр.

Информационный обмен

Установлены цепочки передачи данных:

  • Субъект КИИ → Уполномоченный орган - ежегодные отчёты до 1 марта;
  • Уполномоченный орган → Минпромторг - выписка и отчёт до 1 апреля;
  • Минпромторг → Правительство РФ - сводные отчёты до 1 мая.

Потенциальные риски несоблюдения

Хотя постановление напрямую не содержит санкций, несоблюдение его требований приводит к:

  • невозможности категорирования/перекатегорирования объектов;
  • рискам применения мер со стороны регуляторов (ФСТЭК, ФСБ, ЦБ РФ).

1. Административные и финансовые санкции

Статьи:

  • Статья 13.12 КоАП РФ - ответственность за нарушение требований к обеспечению безопасности информации;
  • Статья 13.12.1 КоАП РФ - ответственность за нарушение требований к созданию систем безопасности ЗОКИИ и обеспечению их функционирования;

Риски: штрафы от 5000 до 100 000 рублей.

2. Уголовная ответственность

Статьи:

  • Статья 274.1 УК РФ - ответственность за нарушение правил эксплуатации средств хранения, обработки и передачи информации КИИ, а также правил доступа, если это повлекло причинение вред КИИ.

Риски: принудительные работы до 5 лет или лишение свободы до 6 лет, с возможным запретом занимать должности до 3 лет.

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией