Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Требования к программному обеспечению (ПО) на объектах КИИ сейчас стали гораздо строже, чем раньше. В целом можно сказать так:

На объектах КИИ должно использоваться ПО, которое безопасно, контролируемо, сертифицируемо и по возможности — отечественного происхождения.

ФСТЭК и Правительство требуют, чтобы любое ПО, влияющее на безопасность и устойчивость функционирования объекта, было:

защищённым,
актуальным,
разрешённым к применению,
эксплуатируемым по регламентам,
а для значимых объектов — ещё и соответствующим требованиям доверия.

Что говорит законодательство

187-ФЗ «О безопасности КИИ»

Устанавливает обязанность субъектов КИИ:

• обеспечивать устойчивость функционирования объектов;
• применять меры защиты информации, включая использование сертифицированных СЗИ и безопасных программных решений;
• предотвращать нарушения, возникающие из-за уязвимого или неподконтрольного ПО.

Хотя прямых требований к “происхождению” ПО в 187-ФЗ нет, федеральные подзаконные акты эти требования уже ввели.

Приказ ФСТЭК № 239 (меры безопасности для ЗОКИИ)

Требует:

• использовать программные средства, обеспечивающие защиту информации, включая сертифицированные СЗИ;
• контролировать целостность программного обеспечения;
• управлять обновлениями, доступом и конфигурациями ПО;
• ограничить применение ПО, которое может привести к реализации угроз (непроверенное, устаревшее, неподдерживаемое, подозрительное).

Для значимых объектов ПО должно соответствовать требованиям:

• устойчивости,
• защищённости,
• управляемости,
• применимости в средах повышенной критичности.

Приказ ФСТЭК № 235 (система безопасности ЗОКИИ)

Обязывает:

• включить ПО в перечень контролируемых компонентов системы безопасности;
• обеспечивать защиту программных компонентов на всех этапах жизненного цикла;
• применять только проверенные, контролируемые и документированные программно-аппаратные решения.

Закон 58-ФЗ (новые требования к использованию российского ПО на КИИ)

С 2025 года введена обязанность субъектов КИИ:

• использовать ПО из реестра российского ПО на значимых объектах, если российские аналоги существуют;
• переход на отечественное ПО осуществляется поэтапно (детализировано в ПП № 1912).

Фактически это означает запрет на использование иностранного ПО, если есть российское, входящее в реестр.

ПП РФ № 1912 от 14.11.2023 (о доверенных ПАК на значимых объектах КИИ)

Устанавливает:

• обязанность субъектов КИИ перейти к применению доверенных программно-аппаратных комплексов (ПАК);
• ограничения на закупку и эксплуатацию иностранных ПАК;
• требования к составу доверенных платформ, средств диагностики, эксплуатации и обновления;
• сроки перехода — с 2024 по 2030 годы.

Это ключевой документ для всех КИИ-заказчиков, использующих промышленное оборудование, SCADA, АСУ ТП, контроллеры, телеком-ПАК и др.

Как это работает на практике

Чтобы выполнить требования законодательства, субъекты КИИ должны обеспечить:

1. Контролируемость и происхождение ПО

• Применяется только ПО из доверенных источников (официальные сайты, репозитории, производители).
• Ведётся внутренний реестр используемого ПО.
• Для значимых объектов проводится анализ соответствия требованиям доверия.

2. Ограничение иностранного ПО

• Иностранное ПО допускается только при документальном отсутствии российских аналогов.
• Подтверждение отсутствия аналогов должно быть оформлено официально (внутреннее обоснование + при необходимости заключения профильных органов).

3. Использование сертифицированных средств защиты

• Антивирусы, МЭ, СЗИ, средства контроля целостности — только сертифицированные ФСТЭК/ФСБ.

4. Управление обновлениями и уязвимостями

• Установка обновлений ― по регламенту, после тестирования.
• Нельзя использовать ПО, которое не поддерживается производителем и содержит известные уязвимости.

5. Защита конфигураций ПО

• Ограничение прав доступа;
• ведение журналов изменений;
• применение контроля целостности.

6. Защита жизненно важных компонентов

Под особые требования подпадают:

• операционные системы,
• SCADA и АСУ ТП,
• ПО маршрутизаторов, шлюзов, серверов,
• ПО, обеспечивающее связь с внешними системами,
• системы управления доступом.

Для них требуются повышенные меры контроля.

Выводы и рекомендации

Требования к программному обеспечению на объектах КИИ можно свести к следующим основным правилам:

Что обязательно:

• использовать только контролируемое и безопасное ПО;
• применять сертифицированные СЗИ;
• переходить на российское ПО и доверенные ПАК (58-ФЗ, ПП № 1912);
• поддерживать актуальность и корректность обновлений;
• контролировать целостность программных компонентов;
• документировать весь жизненный цикл ПО и его конфигурации.

Что запрещено:

• устанавливать неподтверждённое, пиратское или подозрительное ПО;
• использовать иностранное ПО без анализа наличия российских аналогов;
• эксплуатировать ПО, не поддерживаемое производителем;
• допускать неконтролируемые изменения ПО и конфигураций.

Что такое импортозамещение в контексте КИИ?

Импортозамещение в КИИ — это требование государства заменить иностранное программное и программно-аппаратное обеспечение на российские решения, если они существуют и могут обеспечивать устойчивую и безопасную работу объекта КИИ.

Если объяснить “по-человечески”, то логика такая:

Критически важные системы страны не должны зависеть от зарубежных поставщиков, которые могут прекратить поддержку, отключить сервисы или встроить недоказуемые функции. Поэтому на объектах КИИ постепенно вводится обязанность использовать российское ПО и доверенные отечественные ПАК.

Это касается как обычного корпоративного ПО, так и систем промышленной автоматизации (АСУ ТП), SCADA, средств коммуникации, серверных платформ, контроллеров и других компонентов, от которых зависит работа КИИ.

Что говорит законодательство

Импортозамещение для субъектов КИИ регулируется сразу несколькими нормативными актами.

Федеральный закон № 58-ФЗ (2025 год)

Вводит обязанность:

• использовать на значимых объектах КИИ ПО из реестра российского ПО, если российские аналоги существуют;
• обосновывать невозможность перехода на российское ПО, если такой переход не выполнен.

Фактически это означает запрет бесконтрольно эксплуатировать иностранное ПО на ЗОКИИ.

Постановление Правительства РФ № 1912 от 14.11.2023

Один из ключевых документов:

• устанавливает поэтапный переход субъектов КИИ на доверенные программно-аппаратные комплексы (ПАК);
• ограничивает закупку и эксплуатацию иностранных ПАК, если имеются доверенные отечественные аналоги;
• вводит требования к уровню доверия ПО, СЗИ и оборудования;
• задаёт сроки перехода — с 2024 по 2030 год.

Это основной норматив, который формирует понятие импортозамещения именно для КИИ, а не для рынка в целом.

Смежные акты

• 187-ФЗ — определяет обязанности по устойчивости и безопасности объектов КИИ;
• Приказы ФСТЭК № 235 и № 239 — определяют требования к безопасности ПО, конфигураций, доверенности средств защиты;
• Акты Минцифры — регулируют включение ПО в реестр российского ПО, что важно для обоснования выбора.

Совокупно они формируют рамку: если ПО или оборудование критично для КИИ — оно должно быть российским и доверенным, либо его использование должно быть обосновано.

Как это работает на практике

Импортозамещение в КИИ — это не “выкинуть всё зарубежное завтра”. Это поэтапный процесс, включающий:

1. Инвентаризация ПО и ПАК

Организация составляет полный перечень:

• операционных систем;
• серверного ПО;
• SCADA/АСУ ТП;
• средств связи;
• оборудования и встроенного ПО;
• СЗИ и криптосредств.

Каждый компонент оценивается на предмет происхождения и наличия российских аналогов.

2. Оценка значимости и критичности компонентов

Если ПО влияет на:

• управление технологическим процессом;
• устойчивость работы значимого объекта;
• безопасность данных —
  оно попадает под обязательное импортозамещение в первую очередь.

3. Поиск российских аналогов и анализ применимости

Субъект должен проверять:

• есть ли функционально подходящие решения в реестре российского ПО;
• есть ли отечественные ПАК соответствующего класса доверия;
• обеспечивают ли они ту же функциональность.

Если аналогов нет — оформляется обоснование невозможности замены.

4. Переход на доверенные ПАК

Для значимых объектов КИИ требуется:

• выбирать ПАК из перечня доверенных;
• учитывать уровни доверия ПО, прошивок, СЗИ;
• обеспечивать критически важные функции на отечественных платформах.

5. Запрет на необоснованную эксплуатацию иностранного ПО

Субъект КИИ не вправе:

• закупать новое иностранное ПО без обоснования,
• использовать иностранные ПАК, если есть российские,
• откладывать переход без утверждённого плана и причин.

Выводы и рекомендации

Импортозамещение в контексте КИИ — это:

По сути:

Переход с иностранного ПО и оборудования на российские решения, чтобы исключить технологические риски.

По закону:

Обязанность использовать ПО из реестра российского ПО и доверенные ПАК на значимых объектах КИИ (58-ФЗ, ПП № 1912).

Для бизнеса:

Не просто формальность, а проектный процесс, включающий инвентаризацию, анализ, пилоты, миграцию и обучение персонала.

Что делать субъекту КИИ:

• Провести реестр ПО/ПАК.
• Выполнить сопоставление с реестром российского ПО.
• Определить, какие компоненты подпадают под обязательный переход.
• Оформить обоснования, если переход невозможен.
• Подготовить план импортозамещения по требованиям ПП № 1912.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге