3.5. Переход иных организаций на российское ПО, являющихся субъектами критической информационной инфраструктуры Российской Федерации и которым принадлежат значимые объекты критической информационной инфраструктуры Российской Федерации

149. Настоящий раздел методических рекомендаций применяется для российских организаций, являющихся в соответствии с законодательством Российской Федерации субъектами КИИ и которым принадлежат значимые объекты КИИ, не являющихся при этом организациями, подведомственными органам государственной власти и государственным внебюджетным фондам, организациями, включенными в специальный перечень N 91-р и в отношении которых приняты решения о разработке стратегии (программы) цифровой трансформации (протокол заочного голосования членов президиума Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности от 31 августа 2022 г. N 34), а также заказчиками 44-ФЗ или заказчиками 223-ФЗ (далее - иные организации).

150. В План перехода иных организаций на использование российского ПО рекомендуется включать:

а) перечень организационно-технических мероприятий, реализация которых необходима для перехода на использование российского ПО на значимых объектах КИИ, с учетом требований настоящих методических рекомендаций и требований законодательства Российской Федерации (в виде отдельной таблицы);

б) сведения об объемах и источниках финансовых ресурсов, планируемых для решения задач по переходу на использование российского ПО на значимых объектах КИИ, указываемых по годам (в виде отдельной таблицы);

в) детализированный план перехода на использование российского ПО на принадлежащих иной организации значимых объектах КИИ, представляющий собой определение перечня мероприятий и задач по каждому значимому объекту КИИ, а также показатели эффективности перехода на использование российского ПО и соответствующие им значения индикаторов эффективности, устанавливаемые по годам для каждого значимого объекта КИИ в отношении каждого класса (типа) ПО, используемого на соответствующем значимом объекте КИИ (в виде отдельной таблицы).

151. План перехода иной организации на использование российского ПО на принадлежащих ей значимых объектах КИИ рекомендуется утвердить решением руководителя организации.

152. В целях обеспечения эффективного перехода иной организации на использование российского ПО рекомендуется определить решением руководителя организации работника организации, занимающего должность не ниже заместителя руководителя организации, ответственного за переход на использование российского ПО, в том числе на значимых объектах КИИ, а также за достижение устанавливаемых в Плане перехода показателей эффективности и соответствующих им значений индикаторов эффективности.

153. План перехода иной организации на использование российского ПО на принадлежащих ей значимых объектах КИИ рекомендуется согласовать с Минцифры России.

154. Документы, являющиеся частью Плана перехода и которые представляют собой сведения, составляющие государственную тайну, и документы, являющиеся частью Плана перехода и в которых отсутствуют сведения, составляющие государственную тайну, представляются на согласование раздельно.

155. Рекомендованная форма плана перехода иной организации на использование российского ПО на принадлежащих ей значимых объектах КИИ, включая:

а) форму для формирования перечня организационно-технических мероприятий;

б) форму для определения сведений об объемах и источниках финансовых ресурсов;

в) форму детализированного плана перехода на использование российского ПО на принадлежащих организации значимых объектах КИИ и форму для установления показателей эффективности перехода на использование российского ПО и соответствующих им значений индикаторов эффективности в отношении значимых объектов КИИ,

приведена в приложении N 17 к настоящим методическим рекомендациям.

156. В состав перечня организационно-технических мероприятий, реализация которых необходима для обеспечения перехода на использование российского ПО на значимых объектах КИИ, рекомендуется включить:

а) организационные мероприятия, направленные на подготовку к переходу организации на использование российского ПО на значимых объектах КИИ;

б) технические мероприятия, направленные на подготовку к переходу организации на использование российского ПО на значимых объектах КИИ;

в) мероприятия, направленные на обеспечение перехода организации на использование российского ПО на значимых объектах КИИ;

г) иные организационно-технические мероприятия.

157. При описании результатов реализации организационно-технических мероприятий могут быть использованы качественные и количественные индикаторы и показатели.

158. В случае, если организация использует на принадлежащих ей значимых объектах КИИ специализированное программное обеспечение, исключительные права на которое принадлежат данной организации, для целей перехода на использование российского ПО на значимых объектах КИИ организациям рекомендуется организовать работу по включению в единый реестр российского ПО такого ПО в порядке, предусмотренном законодательством Российской Федерации.

159. В целях обеспечения эффективного планирования в части организационно-технических мероприятий перехода на использование российского ПО на значимых объектах КИИ, иным организациям рекомендуется:

а) сформировать перечень значимых объектов КИИ, которые принадлежат организации;

б) организовать и провести стресс-тестирование используемой информационно-технологической инфраструктуры организации в части используемого иностранного ПО (далее - стресс-тестирование);

в) провести обследование существующей информационно-технологической инфраструктуры, используемой организацией на значимых объектах КИИ;

г) на основе проведенного обследования и стресс-тестирования существующей информационно-технологической инфраструктуры рекомендуется для каждого значимого объекта КИИ определить перечень используемого иностранного ПО, российского ПО и евразийского ПО, определить долю используемого российского и евразийского ПО для каждого значимого объекта КИИ в разрезе классов (типов) ПО;

д) провести анализ требований, предъявляемых законодательством Российской Федерации к функционированию различных классов (типов) ПО, используемого на значимых объектах КИИ, в том числе функциональных требований и требований по обеспечению информационной безопасности;

е) провести анализ сведений о ПО, включенном в единый реестр российского ПО, и сведений о ПО, включенном в единый реестр евразийского ПО, определить предварительный перечень потенциального российского ПО и евразийского ПО, реализующих функции соответствующего ПО, для его дальнейшего применения при переходе на использование российского ПО на значимых объектах КИИ;

ж) провести анализ текущих сроков амортизации используемых организацией на момент планирования персональных электронных вычислительных машин, устройств терминального доступа, абонентских устройств радиоподвижной связи, программно-аппаратных комплексов, в том числе серверного и иного технологического оборудования, иных средств вычислительной техники и периферийных устройств, а также провести оценку совместимости российского и евразийского ПО с указанным оборудованием и программно-аппаратными комплексами;

з) провести анализ сроков действия прав на использование ПО и сроков полезного использования нематериальных активов в отношении используемого организацией на момент планирования ПО, сведения о котором не включены в единый реестр российского ПО;

и) провести анализ планов закупки ПО, в том числе закупки прав на использование ПО и закупки технической поддержки (обновлений) ПО, сведения о котором не включены в единый реестр российского ПО, на последующие периоды, и провести их корректировку с учетом задач по переходу на использование российского ПО на значимых объектах КИИ и формируемой системы показателей эффективности и соответствующих им значений индикаторов эффективности перехода на использование российского ПО на значимых объектах КИИ;

к) реализовать мероприятия, направленные на уточнение используемых организацией программно-технических решений и программного обеспечения в связи с переходом на использование российского ПО на значимых объектах КИИ, в рамках которых, в том числе:

провести анализ общесистемного и прикладного ПО, программно-аппаратных комплексов, используемых на значимых объектах КИИ;

сформировать требования к функциональным, техническим, эксплуатационным характеристикам, предъявляемым к персональным электронным вычислительным машинам, устройствам терминального доступа, абонентским устройствам радиоподвижной связи, программно-аппаратным комплексам, в том числе серверному и иному технологическому оборудованию, иным средствам вычислительной техники и периферийным устройствам, планируемым к закупке в последующие периоды с учетом необходимости обеспечения совместимости с российским ПО и евразийским ПО, планируемом к использованию на значимых объектах КИИ. Указанные требования рекомендуется направить в Минцифры России;

определить требования к функциональным, техническим и эксплуатационным характеристикам, предъявляемым к различным классам (типам) ПО (для каждого класса (типа) ПО) со стороны прикладного ПО информационных систем и иных компонентов информационно-технологической инфраструктуры, используемых на значимых объектах КИИ. Указанные требования рекомендуется направить в Минцифры России;

провести функциональное и иные виды тестирования российского и евразийского ПО для целей подтверждения соответствия указанного ПО определенным требованиям к функциональным, техническим и эксплуатационным характеристикам ПО, а также оценки совместимости прикладного ПО информационных систем и иных компонентов информационно-технологической инфраструктуры, используемых на значимых объектах КИИ, с российским и евразийским ПО;

определить уточненный перечень российского ПО, евразийского ПО и российских программно-технических решений для применения при переходе на использование российского ПО на значимых объектах КИИ;

определить факторы и барьеры, препятствующие на момент планирования переходу на использование российского ПО (для соответствующих классов (типов) ПО), провести оценку необходимости и объемов доработки прикладного ПО информационных систем и иных компонентов информационно-технологической инфраструктуры, используемых на значимых объектах КИИ, с целью обеспечения совместимости с российским ПО и (или) евразийским ПО, планируемого к использованию на значимых объектах КИИ. Выявленные факторы и барьеры рекомендуется направить в Минцифры России;

сформировать перечень задач и мероприятий, направленных на устранение факторов и барьеров, препятствующих переходу на использование российского ПО, а также на обеспечение совместимости прикладного ПО информационных систем и иных компонентов информационно-технологической инфраструктуры, используемых на значимых объектах КИИ, с российским ПО и евразийским ПО, планируемым к использованию на значимых объектах КИИ;

л) провести оценку требуемых временных и финансовых ресурсов для реализации задач по переходу на использование российского ПО на значимых объектах КИИ, разработать необходимые финансово-экономические и технико-экономические обоснования;

м) провести оценку достаточности имеющихся в распоряжении организации ресурсов, необходимых для обеспечения перехода на использование российского ПО на значимых объектах КИИ в установленные сроки и для достижения установленных показателей эффективности, в том числе для целей модернизации прикладного ПО информационных систем и иных компонентов информационно-технологической инфраструктуры, используемых на значимых объектах КИИ. При этом при оценке достаточности ресурсов организациям рекомендуется:

провести оптимизацию текущих и планируемых эксплуатационных расходов на ИКТ;

провести оптимизацию текущих и планируемых расходов на развитие существующих информационных систем и иных компонентов информационно-технологической инфраструктуры, функционирующих на базе иностранных ИТ-платформ и иностранных ИТ-решений;

провести оптимизацию расходов, связанных с закупкой нового ИКТ-оборудования и созданием новых центров обработки данных, на вычислительную и телекоммуникационную инфраструктуру, обеспечивающую функционирование информационных систем;

н) с учетом проведенной оценки требуемых временных и финансовых ресурсов, оценки достаточности имеющихся финансовых ресурсов с учетом проведенной оптимизации расходов на ИКТ иным организациям рекомендуется:

внести необходимые изменения в программы (проекты) организации, связанные с развитием ИКТ;

при отсутствии имеющегося в организации достаточного объема финансовых ресурсов проработать вопросы, связанные с иными источниками финансового обеспечения процессов перехода на использование российского ПО на значимых объектах КИИ;

о) в случае, если в процессе тестирования российского ПО и евразийского ПО и уточнения программно-технических решений будет определено, что в указанном ПО отсутствует ряд критически важных технологий и функций, которые при этом не могут быть реализованы путем использования комбинации ПО или реализации организационно-технических мер, рекомендуется организовать взаимодействие с Отраслевым комитетом по развитию общесистемного и прикладного ПО, иными Индустриальными центрами компетенций по замещению зарубежных отраслевых продуктов и решений в ключевых отраслях экономики (при необходимости), а также с Центрами компетенций по развитию российского общесистемного и прикладного программного обеспечения, производителями российского ПО и евразийского ПО для целей организации развития и доработки указанного ПО;

п) предусмотреть мероприятия, направленные на обучение работников организации, в том числе работников, ответственных за вопросы функционирования информационно-технологической и телекоммуникационной инфраструктуры, по использованию российского и евразийского ПО.

160. Иным организациям также рекомендуется:

а) с 1 января 2023 г. новые информационные системы и иные компоненты информационно-технологической инфраструктуры создавать с использованием российского ПО и евразийского ПО (для использования на значимых объектах КИИ);

б) создать "проектную группу", обеспечивающую управление процессами перехода организации на использование российского ПО на значимых объектах КИИ, мониторинг хода реализации Плана перехода и достижения установленных показателей эффективности;

в) предусмотреть мероприятие по предоставлению в Минцифры России сведений о ходе реализации Плана перехода с периодичностью, по форме и в объеме, предусмотренных в настоящих методических рекомендациях;

г) установить решением руководителя организации условия и критерии, определяющие персональную ответственность для заместителя руководителя организации, ответственного за вопросы, связанные с переходом на использование российского ПО на значимых объектах КИИ, за несвоевременную подготовку и утверждение Плана перехода организации на использование российского ПО на значимых объектах КИИ, а также за недостижение показателей эффективности перехода на использование российского ПО на значимых объектах КИИ, установленных в Плане перехода.

161. Сведения об объемах и источниках финансовых ресурсов, планируемых для решения задач по переходу на использование российского ПО на значимых объектах КИИ рекомендуется формировать в виде отдельной таблицы.

162. Сведения об объемах и источниках финансовых ресурсов рекомендуется устанавливать по годам в тыс. руб., с указанием двух знаков после запятой. Сведения об объемах и источниках финансовых ресурсов должны учитывать:

устанавливаемую динамику показателей эффективности и соответствующих им значений индикаторов эффективности в отношении классов (типов) ПО;

необходимость реализации организационно-технических мероприятий по переходу на российского ПО в полном объеме и в запланированные сроки;

динамику цен производителей ПО и поставщиков иных товаров, работ, услуг, связанных с ИКТ.

163. Детализированный план перехода на использование российского ПО на принадлежащих организации значимых объектах КИИ и показатели эффективности перехода на использование российского ПО на значимых объектах КИИ и соответствующие им значения индикаторов эффективности рекомендуется формировать в виде отдельной таблицы.

164. В детализированном плане для значимых объектов КИИ для каждого значимого объекта КИИ рекомендуется:

сформировать план-график мероприятий по переводу значимого объекта КИИ на использование российского ПО и евразийского ПО с указанием наименования мероприятия, срока его реализации, ответственного работника, описания ожидаемого результата с учетом реализации организационно-технических мероприятий перехода на использование российского ПО;

определить классы (типы) ПО и перечень иностранного ПО, которое используется на значимом объекте КИИ и которое подлежит замещению на российское ПО и евразийское ПО до конца 2024 года;

установить по годам показатели эффективности и соответствующие им значения индикаторов эффективности для каждого используемого на значимом объекте КИИ класса (типа) ПО.

165. Показатели эффективности и соответствующие им значения индикаторов эффективности перехода на использование российского ПО на значимых объектах КИИ рекомендуется устанавливать по годам в отношении каждого используемого на значимых объектах КИИ класса (типа) ПО в соответствии с приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 22 сентября 2020 г. N 486 "Об утверждении классификатора программ для электронных вычислительных машин и баз данных".

166. Показатели эффективности и соответствующие им значения индикаторов эффективности должны быть установлены с учетом требований законодательства Российской Федерации в сфере обеспечения информационной безопасности Российской Федерации, в сфере обеспечения технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации.

167. Показатели эффективности и соответствующие им значения индикаторов эффективности рекомендуется устанавливать по годам нарастающим итогом, исходя из обеспечения динамики, достаточной для осуществления перехода на использование российского ПО и евразийского ПО на значимых объектах КИИ к 31 декабря 2024 г.

168. При установлении показателей эффективности и соответствующих им значений индикаторов эффективности для классов (типов) ПО, используемого на принадлежащих организации значимых объектах КИИ, рекомендуется исходить из следующих условий:

достижение к концу 2022 г. доли использования российского ПО и евразийского ПО на значимых объектах КИИ, превышающей не менее чем на 10% текущие показатели использования российского ПО и евразийского ПО на таких объектах;

достижение к концу 2023 г. доли использования российского ПО и евразийского ПО на значимых объектах КИИ, превышающей не менее чем на 40% текущие показатели использования российского ПО и евразийского ПО на таких объектах;

установление на 2024 г. и далее доли использования российского ПО и евразийского ПО на значимых объектах КИИ на уровне 100%.

169. После утверждения Плана перехода организации на использование российского ПО на принадлежащих ей значимых объектах КИИ копию утвержденного Плана перехода рекомендуется направить в Минцифры России.

170. При внесении изменений в утвержденный организацией План перехода на использование российского ПО на значимых объектах КИИ организации рекомендуется согласовать указанные изменения в порядке, предусмотренном настоящими методическими рекомендациями, при одновременном предоставлении обоснования необходимости внесения изменений.

171. Не рекомендуется при формировании показателей эффективности перехода на использование российского ПО на значимых объектах КИИ и соответствующих им значений индикаторов эффективности, сведений об объемах и источниках финансовых ресурсов указывать отсылочные положения такие как "могут быть изменены по результатам тестирования", "могут быть изменены в случае отсутствия необходимого объема финансирования" и иные.

172. Для целей мониторинга и контроля реализации Планов иных организаций по переходу на использование российского ПО на значимых объектах КИИ рекомендуется предоставлять в Минцифры России соответствующие отчетные сведения. Рекомендованные отчетные формы для представления сведений о ходе реализации Плана перехода на использование российского ПО на значимых объектах КИИ и достижении показателей эффективности перехода на использование российского ПО на значимых объектах КИИ приведены в Приложении N 18 к настоящим методическим рекомендациям.

Рекомендуемые сроки предоставления в Минцифры России отчетных сведений согласно отчетным формам, приведенным в Приложении N 18 к настоящим Методическим рекомендациям:

для полугодовых отчетов - в течение 1 месяца после даты завершения отчетного периода;

для годовых отчетов - в течение 4-х месяцев после даты завершения отчетного периода.