Ранее в блоге уже писал про запрет иностранного для субъектов критической информационной инфраструктуры: Запрет иностранного в КИИ, а теперь для портала Anti-Malware.ru подготовил более развёрнутую и детальную статью: Запрет иностранных решений в КИИ: как обстоят дела в реальности.
Выводы
Все нынешние законодательные требования, как уже действующие, так и вступающие в силу в ближайшие годы, ненавязчиво намекают на то, что в ЗО КИИ проще всего применять отечественные ПО и доверенные ПАК, а средства защиты выбирать из реестра сертифицированных по требованиям ФСТЭК России.
Определённое пространство для манёвра у владельцев ЗО КИИ пока ещё остаётся (особенно если они не осуществляют закупок по 223-ФЗ), но представляется целесообразным искать альтернативы только в тех случаях, когда есть существенные технические (как вариант — бюджетные) ограничения.
Стратегия полного либо частичного игнорирования запретов тоже имеет право на жизнь, особенно в условиях, когда за нарушение большинства требований не установлено непосредственной ответственности, но, как и в случае с общими требованиями к КИИ, представляется, что это всё временно.
Напомним, что хотя Федеральный закон № 187-ФЗ «О безопасности КИИ» вступил в силу ещё с 01 января 2018 года, ответственность (административная в виде штрафов максимум до 200 тыс. рублей для юрлиц) за нарушение требований в области обеспечения безопасности КИИ РФ и за непредставление сведений, предусмотренных законодательством в этой области, была установлена только три с лишним года спустя Федеральным законом № 141-ФЗ от 26.05.2021 «О внесении изменения в КоАП РФ». Вполне возможно, что ответственность за нарушение требований Указов Президента РФ № 166 и № 250 и Постановлений Правительства РФ № 1478 и № 1972 может появиться гораздо раньше, чем через три года.
Текст статьи полностью: https://www.anti-malware.ru/analytics/Technology_Analysis/CII-foreign-components-prohibition
Комментарии из Telegram
Комментарии ВКонтакте