Для субъектов критической информационной инфраструктуры (далее – СуКИИ), в том числе являющихся финансовыми организациями, требования к импортозамещению установлены в следующих нормативных правовых актах:
- Указ Президента Российской Федерации (далее – РФ) от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (запрет на использование иностранного программного обеспечения (далее – ПО) в значимых объектах КИИ для отдельных категорий СуКИИ);
- Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (запрет для всех субъектов КИИ на использование средств защиты информации из недружественных стран, а также запрет на пользование услугами по информационной безопасности, предоставляемыми организациями из недружественных стран);
- постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому…» (требования к использованию российского или евразийского ПО в значимых объектах КИИ для отдельных категорий субъектов КИИ);
- постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных…» (требования к использованию доверенных программно-аппаратных комплексов в значимых объектах КИИ для всех СуКИИ).
Помимо требований, утвержденных постановлениями Правительства РФ и указами Президента РФ, финансовым организациям необходимо учитывать отраслевые требования к импортозамещению. Некредитные и кредитные финансовые организации (то есть субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка) обязаны обеспечить переход на преимущественное использование российского ПО, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах КИИ (далее — ЗОКИИ). Соответствующие требования о переходе на отечественные программные, аппаратные и программно-аппаратные средства в рамках значимых объектов КИИ установлены в статьях 57.5-1 (для кредитных организаций) и 76.4-3 (для некредитных организаций) Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
Таким образом, организациям, функционирующим в финансовой и банковской сфере, как СуКИИ:
- запрещено использовать средства защиты информации из недружественных стран (не ограничивает использование отечественных СЗИ);
- запрещено пользоваться услугами по обеспечению информационной безопасности, предоставляемыми организациями из недружественных стран;
- необходимо осуществить переход на доверенные программно-аппаратные комплексы на ЗОКИИ;
- необходимо осуществить переход на российское ПО, отечественную радиоэлектронную продукцию и телекоммуникационное оборудование на ЗОКИИ.