Госспецсвязи предоставила разъяснения относительно Порядка формирования и ведения открытого перечня запрещенного к использованию программного обеспечения и оборудования, утвержденного постановлением Кабинета Министров Украины № 1335. Как сообщили в ведомстве, главным критерием для внесения продукта к перечню является санкційний статус его правообладателей, а не техническая оценка безопасности.
Критерии внесения в перечень и область применения
Согласно разъяснению, программное обеспечение (ПО) или коммуникационное оборудование попадает в запрещенный перечень, если его правообладатели, конечные бенефициары или связанные лица находятся под украинскими или международными санкциями. Также основанием может стать соответствующее решение суда.
Требования относительно запрета использования распространяются на:
Системы, где обрабатываются государственные информационные ресурсы.
Системы, которые содержат служебную информацию или государственную тайну.
Объекты критической информационной инфраструктуры (ОКИ).
В Госспецсвязи отметили, что ограничения применяются независимо от того, имеет ли система доступ в Интернет. Даже если ПО используется в закрытом внутреннем контуре (АС-1, АС-2) и не обновляется, его использование остается под запретом. Аналогично, запрет распространяется и на облачные сервисы (SaaS), если базовое ПО включено в перечень.
Последствия использования запрещенного ПО
Использование программного обеспечения или оборудования из перечня имеет прямые юридические и технические последствия для государственных учреждений и предприятий.
1. Невозможность авторизации и сертификации. Система, в которой используется подсанкционное ПО, не сможет пройти авторизацию безопасности или получить сертификат соответствия стандартам информационной безопасности.
2. Отмена действующих сертификатов. Для уже авторизованных систем выявления факта использования запрещенного ПО станет основанием для отмены соответствующих аттестатов и сертификатов.
3. Административная ответственность. В случае выявления нарушения во время государственного контроля, владелец системы будет обязан заменить запрещенный продукт. Невыполнение предписания влечет за собой составление протокола об административном правонарушении по статье 188-31 КпАП.
Для бизнеса и государственных учреждений крайне важно проводить тщательную проверку поставщиков ПО. Такие инструменты, как LIGA360, позволяют автоматизировать проверку контрагентов на наличие в санкційних списках, которые являются ключевым элементом комплаенса.
Актуальность перечня и дальнейшие шаги
Сейчас в перечень внесены продукты, которые были прямо отмечены в соответствующих решениях СНБО. В ведомстве отмечают, что список будет постоянно дополняться. Для систематизации этого процесса Администрация госспецсвязи разрабатывает отдельный приказ, который урегулирует процедурные вопросы сбора и анализа информации.
Чтобы минимизировать юридические и безопасностные риски, украинским предприятиям и государственным учреждениям необходимо регулярно отслеживать обновление перечня запрещенного ПО и обеспечить соответствие своих информационных систем требованиям законодательства. LIGA360 предоставляет доступ к актуальным санкционным спискам и нормативной базе, помогая принимать взвешенные управленческие решения.
Напомним, ранее Госспецсвязи обнародовала "черный список" программного обеспечения.
