Все равны, но некоторые равнее. Минпромторг РФ предложил исключения по дате внедрения доверенных ПАКов

Мин­пром­торг РФ раз­ра­ботал кри­терии, по ко­торым объ­ек­ты кри­тичес­кой ин­фор­ма­цион­ной ин­фраструк­ту­ры мо­гут пе­рей­ти на оте­чес­твен­ные прог­рам­мно-ап­па­рат­ные ком­плек­сы пос­ле 2030 г. Ве­домс­тво опуб­ли­кова­ло соот­ветс­твую­щее пос­та­нов­ле­ние, оно на­ходит­ся на ста­дии оцен­ки ре­гули­рую­ще­го воз­дей­ствия.

Министерство промышленности и торговли Российской Федерации опубликовало проект постановления "О внесении изменений в постановление правительства России от 14 ноября 2023 г. №1912". Он продлит сроки перехода на доверенные программно-аппаратные комплексы (ПАКи) на объектах критической информационной инфраструктуры (КИИ).

"С 1 января 2030 г. не допускается использование субъектами критической информационной инфраструктуры Российской Федерации на принадлежащих им значимых объектах КИИ РФ программно-аппаратных комплексов, не являющихся доверенными программно-аппаратными комплексами, за исключением следующих случаев, и при условии обеспечения в отношении ПАКов, не являющихся доверенными, организационных и технических мер защищенности информационной инфраструктуры РФ, решения о необходимости осуществления которых принимаются и направляются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю", - говорится в документе.

Согласно ему, исключениями являются случаи: наличие договора на поставку доверенных ПАКов, выходящего за пределы 2030 г., если срок полезного использования истекает после 1 января 2030 г., ПАК задействован в работах на опасном объекте и обеспечивает выполнение работ без возможности остановки по техническим причинам, и ПАК неотделим от объекта капитального строительства.

Представитель пресс-службы Минпромторга РФ не ответил на вопросы корреспондента ComNews.

Директор по работе с ключевыми заказчиками ООО "Скала-Р" ("Скала^р" входит в группу Rubytech) Михаил Гилязов назвал новый вариант постановления страховочным механизмом для узкоспециализированных сегментов КИИ. По его словам, речь идет о возможных случаях, когда у отечественной ИТ-отрасли может не быть надежного и апробированного решения к установленному сроку или когда технические ограничения, связанные с непрерывностью производственных процессов, не позволят выполнить миграцию в указанные временные рамки.

Он отдельно отметил, что условия в новом документе - исключения из общего правила. По его оценке, под них попадет незначительное количество объектов КИИ, и на рынок программно-аппаратных комплексов и разработчиков ПО эта мера существенного влияния не окажет.

"Когда проект постановления вступит в силу, это не приведет к "безусловной отсрочке" перехода, но появятся исключения, которые должны соответствовать установленным критериям. Отдельные ПАКи можно будет эксплуатировать на значимых объектах КИИ после 1 января 2030 г. при выполнении определенных условий, четко прописанных в постановлении. Для рынка это означает, что риски аварийных остановок должны существенно снизиться, а требования к поставщикам и интеграторам решений возрастут, особенно в части исполнения контрактов и оформлению документов", - рассказал руководитель направления подготовки технической и проектной документации ООО "Гигант Компьютерные системы" Дмитрий Битченков.

По его словам, у заказчиков-владельцев значимых объектов КИИ появится безопасный, с точки зрения непрерывности деятельности, сценарий: при условии документального подтверждения соответствия критериям можно не менять технологический процесс ради соблюдения формального срока перехода.

"В проекте постановления прямо указано требование прикладывать к плану перехода обоснование и набор подтверждающих документов (в т. ч. договоры на поставку после 1 января 2030 г., документы по амортизации и срокам полезного использования, техническую документацию по ремонтам/реконструкции и др.). Дополнительно возрастет нагрузка по комплаенсу и кибербезопасности: эксплуатация недоверенного ПАК будет сопряжена с выполнением дополнительных требований ФСБ и ФСТЭК, а значит - с проверками, предписаниями и затратами на внедрение таких мер", - рассказал Дмитрий Битченков.

Новое постановление, как он отметил , позволит поставщикам стандартизировать существенные условия долгосрочных контрактов. Он сказал, что такие контракты должны иметь фиксированную цены, сроки поставки, спецификацию и срок исполнения, не превышающий срок полезного использования замещаемой продукции более чем на один год.

"Ключевое финансовое последствие для рынка - закрепление в договоре условия о безвозвратном авансировании не менее 50% объема договора с выплатой не позднее 30 дней с момента заключения, что одновременно повышает предсказуемость финансирования для производителя и требования к управлению рисками и казначейскому сопровождению у заказчика. Поставщиком по такому договору может быть российский производитель или интегратор, уполномоченный производителем, но при этом контрагент должен соответствовать квалификационным ограничениям (не быть в стадии банкротства, ликвидации и отсутствовать в РНП)", - сказал он.

"Отсрочка - это лишь временная мера. Она не является "волшебной таблеткой", которая снимает необходимость работы над созданием конкурентоспособных отечественных решений. Задача перехода на доверенные ПАКи остается актуальной, и основная масса объектов КИИ должна будет выполнить модернизацию ИТ-инфраструктуры в установленные сроки. Продление касается только специфических случаев, где без него действительно не обойтись", - заключил Михаил Гилязов.