Правительство России утвердило требования к ПО, которое используют органы власти и госкомпании на значимых объектах критической информационной инфраструктуры. Также появились правила согласования закупок иностранного программного обеспечения и перехода на отечественное ПО к 2025 г.

Российское или евразийское ПО

Правительство России опубликовало постановление о правилах перехода субъектов критической информационной инфраструктуры (КИИ) на российское ПО. Документ появился 26 августа 2022 г. на портале правовой информации. Постановление подготовлено в рамках указа Президента России о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры страны, который он подписал в марте 2022 г.

В документе говорится, что на значимых объектах КИИ может использоваться только программное обеспечение, включенное в реестр российского или евразийского ПО (единый реестр программ для ЭВМ и баз данных государств – членов Евразийского экономического союза).

Отдельные программные продукты должны иметь сертификат, подтверждающий соответствие требованиям ФСБ и ФСТЭК России. Это касается ПО для обеспечения безопасности КИИ, для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Отраслевые планы

Министерствам предписано утвердить отраслевые планы перехода на российское программное обеспечение на значимых объектах критической информационной инфраструктуры, в частности, в них должны быть указаны целевые сроки перехода заказчиков на преимущественно отечественный софт. Также Минцифры по согласованию с ФСБ и ФСТЭК должно в течение двух месяцев подготовить методические рекомендации для компаний по миграции на российское ПО.

На базе отраслевых планов госкомпании должны будут проанализировать перечень программных продуктов, которые они используют, а затем сформировать и утвердить индивидуальные планы перехода. Сделать это они должны будут в течение двух месяцев после публикации методички Минцифры. В плане им нужно указать, как они будут мигрировать на суверенное ПО до 1 января 2025 г. с разбивкой по годам. Копию плана им следует отправить в Минцифры и уполномоченный орган (если речь о медицинском ПО – в Минздрав, о ПО в атомной промышленности – в Минэнергетики и т. д.)

Правила согласования иностранного ПО

Подробнее всего в постановлении описаны так называемые исключения из правил – на тот случай, если закупать иностранное ПО компаниям все же придется.

Теперь закупки разрешено делать только после согласования с отраслевым министерством: это Минздрав, Минобрануки, Минэнерго, Минтранс, Минцифры, Минфин и Минпромторг. Те, в свою очередь, могут привлекать к обсуждению отраслевые центры компетенций по импортозамещению ПО, в том числе созданные на базе учреждений подведомственных этим министерствам. В июле 2022 г. Минцифры приступило к формированию таких 35 отраслевых центров для замещения иностранных отраслевых цифровых продуктов.

Отмечается, что если речь идет о ПО в финансовой области, Минфин должен в обязательном порядке учесть позицию Центробанка. Если в области атомной энергии, ракетно-космической промышленности, то консультантами должны выступить «Росатом» и «Роскосмос» соответственно. Если дело касается медицинского ПО, мнение спросят у Федеральной службы по надзору в сфере здравоохранения.

Что должно быть в заявке

Для согласования закупки иностранного ПО заказчик должен направить в уполномоченный орган заявку, содержащую сведения о ней. В заявке нужно указать название ПО и обосновать, почему его нельзя заменить российским или евразийским.

Если речь идет о ПО в области информационной безопасности, к заявке нужно приложить сертификаты ФСТЭК или ФСБ, в которых подтверждается, что иностранное ПО соответствует их требованиям.

Также в заявке должны быть предмет договора, начальная цена, планируемые сроки его заключения и исполнения, а также указание о том, регулярная, повторяющаяся или разовая это закупка. Заказчик должен указать место поставки иностранного ПО, сведения о закупке за пределами России и контакты ответственного за нее лица в организации.

Если заявку отправили после утверждения плана перехода компании на преимущественно российское ПО, в документе должна быть информация о соответствии закупки этому плану перехода. Также стоит указать сведения о классе зарубежного ПО, согласно классификатору программ для ЭВМ и баз данных. Если речь о закупке программно-аппаратного комплекса, нужно указать его код в соответствии с классификатором продукции по ОКВЭД (общероссийский классификатор видов экономической деятельности). Также нужна информация о ранее полученных правах на использование иностранного ПО.

Те же сведения нужно представить, если вдобавок к закупке требуются услуги по обслуживанию ПО.

Почему могут отказать

Министерства должны рассмотреть заявку за пять дней, затем в течение одного дня отправить заказчику уведомление, что она составлена правильно. После этого регуляторы могут думать еще восемь дней, а потом – согласовать или отказать.

Для закупок свыше 100 млн руб. требуется дополнительное согласование комиссии, которая будет сформирована при Минцифры России. В состав войдут представители уполномоченных органов. В заседании могут принимать представители заказчика.

Отказать компании в закупке зарубежного ПО могут в том случае, если в заявке указаны недостоверные сведения. То же решение будет, если компания еще не утвердила план перехода на преимущественно российское ПО или утвердила его, но количество закупаемых заграничных программных продуктов выбивается из плана. Если заказчик не смог аргументировать, почему ему требуется именно иностранное ПО, решение также будет отрицательным.

В министерствах также проверят, есть ли в российском реестре альтернатива того же класса, соответствующая требованиям заказчика. Если ее найдут, закупить зарубежное ПО компания не сможет. Если ФСТЭК и ФСБ не сертифицировали иностранное ПО в области информационной безопасности, заявку также отклонят.

Еще один момент: отказать министерство вправе и в том, случае, если в отношении правообладателя иностранного ПО применяются специальные экономические меры в соответствии с федеральным законом «О специальных экономических мерах и принудительных мерах».

Если заявку отклонили, можно ее откорректировать и отправить повторно или же обжаловать в судебном порядке. Контролировать соблюдение госкомпаниями правил согласования закупок иностранного ПО будет Минцифры.

Предыстория миграции на российское ПО

До весны 2022 г. госсектор на российское ПО переходил крайне неохотно, и «мотивировал» его только указ Президента России, подписанный в конце марта 2022 г., в котором с 1 января 2025 г. госорганам и госзаказчикам, работающим на критической информинфраструктуре, запретили использование любых иностранных решений.

В перечень объектов критической информационной инфраструктуры входят информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и сети электросвязи, которые используются для взаимодействия критических объектов. Субъектами КИИ являются госорганы, госучреждения, российские юрлица или ИП, которым на праве собственности или аренды принадлежат объекты, функционирующие в важнейших сферах. Это здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и финансовый рынок в целом, топливно-энергетический комплекс, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. В рамках исполнения указа в начале июня 2022 г. Минцифры сообщило, что от госкомпаний будут требовать увеличить в два раза расходы на ИТ и в полтора раза – на ИКТ. В августе 2022 г. оказалось, что госсектор намерен потратиться еще больше и увеличить расходы на российское ПО в три с половиной раза к 2024 г.