Цифровая устойчивость значимых объектов критической информационной инфраструктуры (КИИ) становится ключевым направлением государственной политики в сфере безопасности. В условиях стремительной цифровизации и растущих киберугроз регулятор требует от субъектов КИИ последовательного и контролируемого перехода на доверенные программно-аппаратные комплексы (ДПАК).

Этот процесс влияет не только на ИТ-ландшафт организации, но и на ее закупочную политику, цепочки поставок, модель управления рисками. В данной статье рассматривается аналитический обзор нормативной базы, сроков, организационных требований и типичных ошибок, с которыми сталкиваются компании, а также практические шаги по построению дорожной карты перехода.

ФГУП «НПП «Гамма» назначено Минпромторгом России отраслевым центром компетенций по информационной безопасности в оборонной, металлургической, химической и горнодобывающей промышленностях. Предприятие проводит отраслевой мониторинг: с 2022 по 2024 год обследовано 2700 объектов, на 2025–2026 годы запланировано по 1000 выездов ежегодно. «Гамма» также координирует переход субъектов КИИ на доверенные ПАК, обеспечивая рекомендации, адаптированные под реальные условия отраслей.

Регламентированный переход на доверенные ПАК — не просто требование закона, а шаг к снижению технологической зависимости и повышению киберустойчивости.

Доверенные комплексы позволяют исключить уязвимости, связанные с использованием зарубежного оборудования и ПО, минимизировать риски скрытых закладок и обеспечить долгосрочную поддержку решений внутри страны.

Ключевые документы, задающие рамку:

• Указ Президента РФ от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» — определяет меры по обеспечению технологической независимости КИИ.

• Постановление Правительства РФ от 14 ноября 2023 г. № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации» — устанавливает порядок и сроки перехода на доверенные ПАК.

Для ИТ-директоров и руководителей ИБ-подразделений это означает необходимость выстраивания системной работы: от аудита текущих решений до создания многолетнего инвестиционного плана замещения.

Под программно-аппаратным комплексом понимается совокупность программного обеспечения, технических средств и оборудования, работающих совместно для выполнения одной или нескольких цифровых задач.

ПАК становится доверенным только при одновременном соблюдении трех условий:

1. Сведения о комплексе содержатся в едином реестре радиоэлектронной продукции.

2. Все используемые в составе программные продукты соответствуют требованиям к отечественному ПО и входят в реестр российского ПО, утвержденный постановлением №147.

3. При наличии функции защиты информации — соответствует требованиям ФСТЭК и (или) ФСБ России.

На практике, многие компании ошибочно считают, что отечественное происхождение оборудования автоматически означает доверенность. Однако без подтверждения статуса через включение в реестр и выполнение регламентов — это лишь формальное импортозамещение, а не выполнение требования.

Переход осуществляется поэтапно и строго регламентирован. Процесс перехода на доверенные ПАК регламентирован конкретными сроками:

• До 1 сентября 2024 года — утверждение отраслевых планов и назначение ответственных в федеральных ведомствах.

• С 1 сентября 2024 года — запрет на закупку и эксплуатацию недоверенных ПАК, за исключением случаев с официальным заключением Минпромторга об отсутствии аналогов.

• До 1 января 2025 года — подача индивидуальных планов субъектами КИИ, чьи объекты уже в реестре.

• +4 месяца от даты уведомления — срок подачи планов для объектов, включенных в реестр позже.

• С 2026 года — ежегодная отчетность до 1 марта.

• Финальная цель — к 1 января 2030 года достичь 100%-й доли доверенных ПАК на всех значимых объектах КИИ.

Соблюдение регламентированных сроков является обязательным условием выполнения государственных требований и поддержания операционной устойчивости.

Организации должны направлять планы перехода в уполномоченные ведомства в зависимости от сферы своей деятельности:

• Минздрав России — здравоохранение

• Минобрнауки России — наука

• Минтранс России — транспорт

• Минцифры России — связь

• Минэнерго России — энергетика и ТЭК

• Минпромторг России — оборонная, горнодобывающая, металлургическая и химическая промышленность

• Минфин России — банковская сфера, финрынок (кроме кредитных/некредитных финорганизаций)

• Росреестр — госрегистрация прав на недвижимость

• Росатом — атомная энергетика

• Роскосмос — ракетно-космическая промышленность

• Центральный банк РФ — банковская сфера и финрынок (кредитные/некредитные финорганизации)

На уровне методической, организационной и практической поддержки ключевую роль выполняет ФГУП «НПП «Гамма», назначенное Минпромторгом России отраслевым центром компетенций по информационной безопасности в оборонной, металлургической, химической и горнодобывающей промышленностях.

Эффективное взаимодействие с ведомствами и отраслевыми центрами компетенций обеспечивает своевременное и корректное выполнение требований регуляторов.

План перехода должен содержать полные сведения о субъекте КИИ и его значимых объектах, описание применяемых ПАКов, текущую и целевую долю доверенных решений, а также прогнозные затраты и сроки реализации. Также в нем должны быть отражены мероприятия по переходу, риски, ограничивающие факторы и возможные исключения с указанием соответствующих обоснований.

При подготовке документа важно опираться на утвержденные отраслевые планы и методические рекомендации Минпромторга, в которых подробно описан формат, структура и порядок согласования.

Типовая ошибка — некорректные данные о значимых объектах: устаревшие наименования, несоответствие регистрационным номерам, отсутствие подтверждений из переписки с ФСТЭК. Такие несоответствия приводят к массовым отказам в согласовании (до 95% случаев).

Если в момент перехода отсутствуют отечественные аналоги, допускается временное использование недоверенных решений при наличии официального заключения Минпромторга. Процедура занимает около пяти рабочих дней, что позволяет избежать простоев.

Важно подчеркнуть, что самостоятельное использование недоверенных решений без официального разрешения является нарушением требований и может привести к административным мерам.

Переход на доверенные ПАК — это долгосрочный проект, в котором цена ошибки высока. Он требует точности, взаимодействия с регуляторами и готовности к оперативным корректировкам плана.

Опыт мониторингов показывает: те компании, которые начали подготовку заблаговременно, не только успевают к контрольным срокам, но и используют проект как возможность обновить инфраструктуру, снизить затраты на обслуживание и укрепить позиции на рынке.

Успешная реализация требует комплексного подхода: методической подготовки, точности в документах, открытого диалога с регуляторами и своевременного принятия решений. Поддержка профильных ведомств и центров компетенций позволяет минимизировать ошибки и адаптировать процесс под реальные условия.