Обеспечение технологической независимости КИИ. Результат попытки № 2.2.

Обеспечение технологической независимости КИИ. Результат попытки № 2.2.

     


  Вы не поверите, но Минцифры  в очередной раз выложила проект Постановления Правительства РФ "О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры". Не просто обновленную версию проекта по поступившим замечаниям, а полностью по новой процедуре на регулейшн. Правда, содержимое не сильно изменилось. Встала проблема выбора с названием заметки: то ли версия 2.2, то ли версия 3.

name='more'>

 Скорее всего, причиной послужила необходимость проведения оценки регулирующего воздействия проекта акта, об обязательности которой я писал в заметках блога ранее .

   Но для нас это даже хорошо, это просто отлично. Появляется шанс переформатировать свои замечания с учетом ответов Минцифры,  учесть опыт прошлых попыток.  

  А замечания, поступившие в январе 2021 года традиционно не учтены.

Даты проведения общественного обсуждения: 13.01.2021- 27.01.2021

Предложения участника общественного обсуждения

Комментарии разработчика

Добрый день! Предложения к проекту постановления Правительства Российской Федерации в приложенном файле.

1.         Пунктом 3 рассматриваемого проекта постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного  оборудования и радиоэлектронной продукции» Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации определяется как федеральный орган исполнительной власти, осуществляющий контроль за соблюдением порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции (далее – Порядок) в части программного обеспечения.

В соответствии с абзацем 4 пояснительной записки к проекту указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» технологическая независимость является необходимым условием обеспечения безопасности критической информационной инфраструктуры (далее – КИИ). Рассматриваемое постановление Правительства Российской Федерации планируется к принятию во исполнение данного указа Президента Российской Федерации. Соответственно основной целью рассматриваемого постановления Правительства Российской Федерации является обеспечение безопасности КИИ.

Полномочия органов государственной власти в области обеспечения безопасности КИИ установлены статьей 6 Федерального закона от 26 июля 2017 года № 187-ФЗ

«О безопасности критической информационной инфраструктуры Российской Федерации» (далее - ФЗ № 187 от 26.07.2017 г.).

Пунктом 5 статьи 6 ФЗ № 187 от 26.07.2017 г. установлены полномочия Федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи (Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации), которые не предусматривают полномочия, планируемые к установлению рассматриваемым постановлением Правительства Российской Федерации.

В соответствии с пунктом 9 статьи 5 Федерального конституционного закона от 6 ноября 2020 года № 4-ФКЗ «О Правительстве Российской Федерации» акты Правительства Российской Федерации могут быть отменены в случае их противоречия федеральным законам.

В связи с вышеизложенным пункт 3 рассматриваемого постановления Правительства Российской Федерации противоречит пункту 5 статьи 6 ФЗ № 187 от 26.07.2017 г. и не может быть принят без внесения изменений в ФЗ № 187 от 26.07.2017 г. в части полномочий Федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи.

Предложение: отзыв проекта постановления Правительства Российской Федерации с рассмотрения до момента внесения изменений в ФЗ № 187 от 26.07.2017 г. в части полномочий Федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи.

 

2.         Пунктом 4 рассматриваемого проекта постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного  оборудования и радиоэлектронной продукции» Министерство промышленности и торговли Российской Федерации определяется как федеральный орган исполнительной власти, осуществляющий контроль за соблюдением Порядка в части телекоммуникационного оборудования и радиоэлектронной продукции.

В соответствии с абзацем 4 пояснительной записки к проекту указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» технологическая независимость является необходимым условием обеспечения безопасности КИИ. Рассматриваемое постановление Правительства Российской Федерации планируется к принятию во исполнение данного указа Президента Российской Федерации. Соответственно основной целью рассматриваемого постановления Правительства Российской Федерации является обеспечение безопасности КИИ.

Полномочия органов государственной власти в области обеспечения безопасности КИИ установлены статьей 6 ФЗ № 187 от 26.07.2017 г.

Статьей 6 ФЗ № 187 от 26.07.2017 г. не установлены полномочия Министерства промышленности и торговли Российской Федерации.

В соответствии с пунктом 9 статьи 5 Федерального конституционного закона от 6 ноября 2020 года № 4-ФКЗ «О Правительстве Российской Федерации» акты Правительства Российской Федерации могут быть отменены в случае их противоречия федеральным законам.

В связи с вышеизложенным пункт 4 рассматриваемого постановления Правительства Российской Федерации противоречит статье 6 ФЗ № 187 от 26.07.2017 г. и не может быть принят без внесения изменений в ФЗ № 187 от 26.07.2017 г. в части полномочий Министерства промышленности и торговли Российской Федерации.

Предложение: отзыв проекта постановления Правительства Российской Федерации с рассмотрения до момента внесения изменений в ФЗ № 187 от 26.07.2017 г. в части полномочий Министерства промышленности и торговли Российской Федерации.

3.         Проектом рассматриваемого постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного  оборудования и радиоэлектронной продукции» утверждаются требования к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах КИИ (далее – Требования), и Порядок, а Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации и Министерство промышленности и торговли Российской Федерации определяются как федеральные органы исполнительной власти, осуществляющие контроль за соблюдением Порядка.

В соответствии с абзацем 4 пояснительной записки к проекту указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» технологическая независимость является необходимым условием обеспечения безопасности КИИ. Рассматриваемое постановление Правительства Российской Федерации планируется к принятию во исполнение данного указа Президента Российской Федерации. Соответственно основной целью рассматриваемого постановления Правительства Российской Федерации является обеспечение безопасности КИИ.

Полномочия органов государственной власти в области обеспечения безопасности КИИ установлены статьей 6 ФЗ № 187 от 26.07.2017 г.

Пунктом 2 статьи 6 ФЗ № 187 от 26.07.2017 г. установлены полномочия Правительства Российской Федерации, которые не предусматривают полномочия по установлению требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах КИИ, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного  оборудования и радиоэлектронной продукции, а также полномочий по наделению органов государственной власти полномочиями в области обеспечения безопасности КИИ.

В соответствии с пунктом 9 статьи 5 Федерального конституционного закона от 6 ноября 2020 года № 4-ФКЗ «О Правительстве Российской Федерации» акты Правительства Российской Федерации могут быть отменены в случае их противоречия федеральным законам.

В связи с вышеизложенные пункты 1, 2, 3, 4 рассматриваемого постановления Правительства Российской Федерации противоречат пункту 2 статьи 6 ФЗ № 187 от 26.07.2017 г. и не могут быть приняты без внесения изменений в ФЗ № 187 от 26.07.2017 г. в части полномочий Правительства Российской Федерации.

Предложение: отзыв проекта постановления Правительства Российской Федерации с рассмотрения до момента внесения изменений в ФЗ № 187 от 26.07.2017 г. в части полномочий Правительства Российской Федерации.

4.         Требования и Порядок, утверждаемые рассматриваемым постановлением Правительства Российской Федерации, распространяют свое действие на все объекты КИИ субъектов КИИ.

В соответствии с пунктом 7 статьи 2 ФЗ № 187 от 26.07.2017 г.  объекты КИИ – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления (далее – ИС, ИТКС, АСУ) субъектов КИИ. В соответствии с указанным пунктом Требования и Порядок распространяют свое действие на все ИС, ИТКС, АСУ субъектов КИИ, то есть и на значимые объекты КИИ, и на объекты КИИ, в отношении которых принято решение об отсутствии необходимости установления категории значимости, и на объекты КИИ, которые не включены в перечень объектов КИИ, подлежащих категорированию, следовательно, не участвующие в выполнении критических процессов.

Складывается ситуация, что положения Требований и Порядка распространяются на объекты КИИ, возникновение компьютерных инцидентов (далее – КИ) на которых не может привести к негативным последствиям, в том числе к последствиям, указанным в Перечне показателей критериев значимости объектов КИИ Российской Федерации и их значений, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 года

№ 127 (далее – ПП РФ № 127 от 08.02.2018 г.). Возможна ситуация, когда субъект КИИ, не имея значимых объектов КИИ, должен будет выполнять положения Требований и Порядка в отношении всех своих ИС, ИТКС и АСУ.

В соответствии с абзацем 4 пояснительной записки к проекту указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» технологическая независимость является необходимым условием обеспечения безопасности КИИ. Рассматриваемое постановление Правительства Российской Федерации планируется к принятию во исполнение данного указа Президента Российской Федерации. Соответственно основной целью рассматриваемого постановления Правительства Российской Федерации является обеспечение безопасности КИИ.

В соответствии с ФЗ № 187 от 26.07.2017 г. требования по обеспечению безопасности предъявляются только к значимым объектам КИИ. Необходимость обеспечения безопасности объектов КИИ, в отношении которых принято решение об отсутствии необходимости установления категории значимости, или объектов КИИ, которые не включены в перечень объектов КИИ, подлежащих категорированию, данным федеральным законом не установлена.

В соответствии с пунктом 9 статьи 5 Федерального конституционного закона от 6 ноября 2020 года № 4-ФКЗ «О Правительстве Российской Федерации» акты Правительства Российской Федерации могут быть отменены в случае их противоречия федеральным законам.

В связи с вышеизложенным распространение действия Требований и Порядка на все объекты КИИ субъектов КИИ противоречит положениям ФЗ № 187 от 26.07.2017 г.

Кроме того, выполнение положений Требований и Порядка в отношении КИИ, не участвующих в выполнении критических процессов, а также объектов КИИ, в отношении которых принято решение об отсутствии необходимости установления категории значимости, является экономически нецелесообразным, так как возникновение КИ на таких объектах не приведет к негативным последствиям, а выполнение положений Требований и Порядка приведет к экономическим издержкам для субъектов КИИ.

Приведенная в ответах на замечания к проекту указа Президента Российской Федерации

«О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» аргументация, что распространение положений Требований и Порядка только на значимые объекты КИИ будет являться дополнительной причиной для уклонения от категорирования объектов КИИ и реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ не может считаться разумной, так как вопросы выявления объектов КИИ и их категорирования не являются предметом рассматриваемых проекта постановления Правительства Российской Федерации, Требований и Порядка. Регулирование данных вопросов осуществляется ФЗ № 187 от 26.07.2017 г. и ПП РФ № 127 от 08.02.2018 г. и должно регулироваться только ими. Предъявление не соответствующих положениям ФЗ № 187 от 26.07.2017 г. дополнительных требований к субъектам КИИ в отношении незначимых объектов КИИ только на основании домыслов о некорректном выполнении субъектами КИИ других нормативных правовых актов, является недопустимым.

Предложение: распространение действия рассматриваемых Требований и Порядка только на значимые объекты КИИ.

1) согласно ст.6 187-ФЗ Президент Российской Федерации определяет основные направления государственной политики в области обеспечения безопасности критической информационной инфраструктуры. Проект указа разработан во исполнение поручения Президента Российской Федерации

2) учитывая, что отнесение информационных систем, автоматизированных систем управления технологическими процессами и информационно-телекоммуникационных систем к значимым объектам КИИ осуществляется заказчиком самостоятельно, распространение требований проекта указа исключительно на значимые объекты КИИ будет являться дополнительной причиной для уклонения от категорирования объектов критической информационной инфраструктуры и реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ

Проектом постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению и оборудованию, используемому на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения и оборудования» и проектом Указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» предусмотрено в качестве основной меры обеспечения технологической независимости и безопасности объектов критической информационной инфраструктуры – импортозамещение как в части используемого программного обеспечения, так и оборудования.

Введение указанных мер является обоснованным по отношению к значимым объектам критической информационной инфраструктуры.

Вместе с тем, существуют объекты критической информационной инфраструктуры, которым не присвоена категория значимости. Введение ограничений для таких объектов критической информационной инфраструктуры является преждевременной мерой ввиду значительных затрат и очевидной приоритетности в отношении значимых объектов критической информационной инфраструктуры.

Таким образом, представляется обоснованным включить в тексты указанных проектов положений о распространении их сферы действия исключительно на значимые объекты критической информационной инфраструктуры. С целью оценки регулирующего воздействия законопроекта на экономическую деятельность субъектов КИИ считаем возможным поэтапное внедрение требований, начиная с наиболее важных для безопасности страны значимых объектов критической информационной инфраструктуры Российской Федерации.

Проект Указа Президента не предусматривает наделение какими-либо полномочиями органов государственной власти, не имеющих полномочий в сфере защиты критической информационной инфраструктуры, установленной Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Возможно, следует рассмотреть вариант наделения федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности КИИ Российской Федерации и в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации дополнительными полномочиями по согласованию, в том числе, возможности применения неотечественного программного обеспечения и телекоммуникационного оборудования и (или) радиоэлектронной продукции, которое будет осуществляться в ходе согласования, предусмотренного Федеральным законом от 26.07.2017 № 187-ФЗ.

Данный вариант позволит, не выходя за пределы полномочий федеральных органов власти, установленных федеральным законодательством, не увеличивая сроки и количество согласований, обеспечить выполнение поставленной задчи – переход на отечественное программное обеспечение и телекоммуникационное оборудование и (или) радиоэлектронную продукцию.

Также необходимо отметить, что программа перехода на отечественное программное обеспечение и оборудование успешно реализуется в рамках Федерального закона от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и принятых в соответствии с ним подзаконными нормативными актами, как в части предоставления преимуществ для отечественных производителей, ограничений при формировании планов закупок государственными заказчиками, заказчиками, так и в части квотирования закупок отечественного программного обеспечения и оборудования.

Введение еще двух нормативных актов, схожих по содержанию с вышеуказанными положениями Федерального закона № 44-ФЗ и соответствующих подзаконных нормативных актов, повлечет усиление нагрузки на органы государственной власти в части двойного контроля соблюдения исполнения одной задачи – импортозамещение.

Учитывая изложенное представляется обоснованным исключить из числа субъектов правоотношений, регламентируемых указанными проектами нормативных правовых актов, заказчиков и государственных заказчиков, определенных Федеральным законом № 44-ФЗ.

При этом необходимо учитывать, что переход на отечественное программное обеспечение повлечет необходимость модернизации существующих информационных систем либо создание новых, что повлечет огромные расходы денежных средств бюджетной системы Российской Федерации.

1) учитывая, что отнесение информационных систем, автоматизированных систем управления технологическими процессами и информационно-телекоммуникационных систем к значимым объектам КИИ осуществляется заказчиком самостоятельно, распространение требований проекта указа исключительно на значимые объекты КИИ будет являться дополнительной причиной для уклонения от категорирования объектов критической информационной инфраструктуры и реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ

2) согласно ст.6 187-ФЗ Президент Российской Федерации определяет основные направления государственной политики в области обеспечения безопасности критической информационной инфраструктуры. Проект указа разработан во исполнение поручения Президента Российской Федерации

По итогам рассмотрения настоящего проекта Постановления Правительства Российской Федерации и прилагаемых проектов нормативных правовых актов (НПА) по вопросам установления требований к программному обеспечению и оборудованию, используемому на объектах критической информационной инфраструктуры, и порядку перехода на преимущественное использование российского программного обеспечения (далее – ПО) и оборудования (ID проекта 01/01/01-21/00112253) сообщаю следующее.

Объектами нефтегазовой отрасли топливно-энергетического комплекса Российской Федерации, подпадающими под действие указанных НПА, являются технологические объекты, относящиеся к опасным производственным объектам (далее – ОПО). В соответствии с положениями Федерального закона от 21 июля 1997 г. № 116-ФЗ «О промышленной безопасности опасных производственных объектов» (далее – Федеральный закон 116-ФЗ) переход на преимущественное использование российского программного обеспечения и оборудования является техническим перевооружением ОПО и требует проведения комплекса мер, таких как: тестирование программного обеспечения на совместимость с существующим и планируемым к внедрению аппаратным обеспечением, получение разрешения заводов-изготовителей технологического оборудования на применение конкретных типов программно-технических средств (ПТС) для управления им, синхронизацию мероприятий по переходу с производственными планами, проведение доработки и испытаний систем, подтверждение соответствия доработанных систем требованиям ФНиП и проведение экспертизы промышленной безопасности. При этом замена ПО и оборудования на данных объектах, как правило возможна только в случае останова основного технологического оборудования в период его минимальной загрузки.

Необходимо отметить, что основной объем ПО и оборудования, применяемого на указанных объектах, представляет собой единые программно-аппаратные комплексы с нормированными показателями функциональности, надежности и быстродействия, замену которых с учетом необходимости обеспечения остановов необходимо осуществлять единовременно. С учетом объема выполняемых мероприятий, их влияния на эксплуатируемые и строящиеся ОПО в соответствии с Федеральным законом 116-ФЗ этап планирования работ критически важен для их реализации.

При этом в проект Порядка перехода на преимущественное использование российского программного обеспечения и (или) оборудования, утверждаемого Правительством Российской Федерации, включен срок подготовки и утверждения планов до 1 июля 2021 г., который с учетом текущего статуса проектов НПА, предшествующих утверждению планов стадий проведения аудита существующего и планируемого к установке ПО и оборудования, анализа требований и наличия российских аналогов, текущих сроков амортизации оборудования и срока действия прав на использование ПО, разработки и согласования перечня используемых и (или) планируемых к использованию иностранных ПО и оборудования и т.д., имеет высокие риски несвоевременного исполнения. Для их исключения целесообразно срок разработки, утверждения и предоставления планов определить относительно даты ввода НПА в действие.

Дополнительно предлагаю в проекте Указа Президента Российской Федерации «О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры» (ID 02/06/10-20/00109874, далее – проект Указа) в п. 2 поручить владельцам указанных объектов разработать, утвердить и организовать исполнение планов перехода на преимущественное использование российского программного обеспечения и оборудования (сейчас в проекте Указа поручение по планированию работ и их выполнению в соответствии с утвержденными планами отсутствует).

Учитывая вышеизложенное, прошу рассмотреть и учесть

1) обязанность по разработке субъектам КИИ предполагается установить постановлением Правительства Российской Федерации

Согласно Указа Президента и Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" у Правительства РФ нет полномочий по наделению Минцифры контрольными полномочия за соблюдением субъектами КИИ проекта Порядка. Требуется внесения изменений в 187-ФЗ. Президент РФ поручил разработать исключительно Требования и Порядок. Контроль за выполнением Порядка на Правительство не возлагался.

Согласно Указа Президента и Федерального закона от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" у Правительства РФ нет полномочий по наделению Минпромторга контрольными полномочия за соблюдением субъектами КИИ проекта Порядка. Требуется внесения изменений в 187-ФЗ. Президент РФ поручил разработать исключительно Требования и Порядок. Контроль за выполнением Порядка на Правительство не возлагался.

Согласно проекта Указа технологическая независимость должна обеспечиваться для объектов КИИ

Кто определяет «аналогичность иностранного ПО, используемого на ОКИИ»? По каким методикам и на основе каких критериев?

Это касается только госкорпораций и государственных учреждений «наличия сведений о телекоммуникационном оборудовании и радиоэлектронной продукции в РРП, не позволяющих по своим техническим характеристикам достичь определенных законодательством целей и задач субъекта КИИ»?

Аналоги необходимо подбирать только для иностранного ПО и оборудования, а для отечественного и не включенного в реестры?

Требования распространяются на отечественное, но не включенное в реестры? Или про любое (отечественное+зарубежное)?

ПО, телекоммуникационное оборудование и (или) радиоэлектронная продукция, предназначенная для обеспечения безопасности значимых объектов КИИ не относится к объектам КИИ. Непонятно о каких требованиях, утверждаемых федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ Российской Федерации идет речь в Порядке. Об уже действующих (Приказ ФСТЭК № 239) или ФСТЭК России должна разработать новые требования по обеспечению технологической независимости такого оборудования и ПО? Ели о действующих приказах ФСТЭК России, то они обязательны к применению согласно прямому указанию в 187-ФЗ и не требуют дублирования в проекте ПП РФ.

ПО, телекоммуникационное оборудование и (или) радиоэлектронная продукция, предназначенное для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах не относится к объектам КИИ. Непонятно о каких требованиях, утверждаемых утверждаемые ФОИВ, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации идет речь в Порядке. Об уже действующих (Приказ ФСБ № 196) или ФСБ России должна разработать новые требования по обеспечению технологической независимости такого оборудования и ПО? Ели о действующих приказах ФСБ России, то они обязательны к применению согласно прямому указанию в 187-ФЗ и не требуют дублирования в проекте ПП РФ.

«Под преимущественным использованием понимается приоритетное использование российского ПО, телекоммуникационного оборудования и радиоэлектронной продукции при наличии соответствующих российских аналогов» - определение термина дается через другой термин, который никак не разъяснен в Порядке. Чем отличается «приоритетное» от «преимущественное»? Какой показатель перехода на отечественные аналоги из реестров показывает, что субъект КИИ выполнил требования указа? 100%, 80% или 50%. Если замена на 100%, то как понимать разъяснения Минцифры к проекту Указа «Проект указа направлен на преимущественный переход на отечественное ПО/оборудование, а не безусловную замену всего иностранного ПО/оборудования»

Только иностранного или и российского в том числе, если не включены в РРП/РПО? Что такое происходящее из зарубежных стран? Импортированное через таможню или включает поставки от российских «дочек» зарубежных производителей? Необходимо привести критерии отбора при анализе

Нам предлагают прочитать требования? На предмет чего проводить анализ требований, утвержденных ПП?

«провести анализ:

Требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, утвержденных постановлением Правительства Российской федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» (далее – Требования);»

Нестыковка действий двух пунктов.

Анализ проводили только для иностранного ПО и оборудования, а амортизацию определяем для ПО и оборудования, не включенных в реестры.

«наличия аналогов используемого (планируемого к использованию) иностранного ПО, телекоммуникационного оборудования и радиоэлектронной продукции, включенных в РПО, РЕП и (или) РРП;

текущих сроков амортизации, используемых субъектом КИИ телекоммуникационного оборудования и радиоэлектронной продукции и срока действия прав на использование ПО в отношении используемого ПО, телекоммуникационного оборудования и радиоэлектронной продукции, сведения о которых не включены в РПО, РЕП и РРП»

Срок «подготовить и до 1 июля 2021 г. утвердить план перехода на преимущественное использование российского ПО, телекоммуникационного оборудования и радиоэлектронной продукции» не реальный, с учетом текущего статуса проекта Указа.

1) Утверждение требований и порядка подразумевает определение методов и способов контроля их исполнения

2) согласно 187-ФЗ критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов

3) порядок проведения анализа перечней используемых и (или) планируемых к использованию иностранных ПО, телекоммуникационного оборудования и радиоэлектронной продукции планируется утвердить совместным приказом Минцифры России, Минпромторга России, ФСБ России и ФСТЭК России

4) наличие в РПО) или РЕП является подтверждением отечественного происхождения разработки

5) к требованиям ФСБ России и ФСТЭК России относятся в том числе и требования, утвержденные действующими приказами ведомств

Проект предложенный к обсуждению подразумевает на объектах критической информационной инфраструктуры (далее - КИИ) замену телекоммуникационного оборудования и радиоэлектронной продукции (ранее установленных и используемых и (или) планируемых к приобретению субъектами КИИ), сведения о которых не включены в единый реестр российской радиоэлектронной продукции (далее – РРП), а так же программного обеспечения (ранее установленного и используемого и (или) планируемого к приобретению субъектами КИИ), сведения о котором не включены в единый реестр российских программ для электронных вычислительных машин и баз данных (далее – РПО). Получается, что даже при использовании на объекте КИИ приобретенного ранее оборудования и программного обеспечения российского производства, но не включенного в РРП и РПО потребуется замена на оборудование и программное обеспечение из РРП и РПО! Замена оборудования и программного обеспечения потребует дополнительных финансовых затрат, что в корне противоречит утверждению «Реализация проекта постановления не повлечет увеличения расходов бюджетов бюджетной системы Российской Федерации».

По предложенному к обсуждению проекту есть следующие предложения:

1. Разрешить на объектах КИИ использование оборудования и программного обеспечения российского производства закупленное ранее (до вступления в силу Указа) и отсутствующее в РРП и РПО, до принятия субъектом КИИ решения о выводе оборудования и программного обеспечения из эксплуатации (т. е. без указания конкретных сроков замены).

2. Для незначимых объектов КИИ не устанавливать строгих сроков (или увеличить сроки) по замене оборудования и программного обеспечения, сведения о которых не включены в РРП и РПО, но установить запрет на закупку нового оборудования и программного обеспечения, сведения о которых не включены в РРП и РПО.

Реализация данных предложений позволит существенно снизить финансовую нагрузку, как на бюджеты конкретных организаций, так и на бюджетную систему Российской Федерации в целом!

1) учитывая, что отнесение информационных систем, автоматизированных систем управления технологическими процессами и информационно-телекоммуникационных систем к значимым объектам КИИ осуществляется заказчиком самостоятельно, распространение требований проекта указа исключительно на значимые объекты КИИ будет являться дополнительной причиной для уклонения от категорирования объектов критической информационной инфраструктуры и реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ

2) порядок действий при наличии используемого ПО и (или) оборудования, сведения о которых не включены в РПО, РЕП и РРП предусмотрен пунктом 1 проекта требований (анализ сроков амортизации и сроков действия прав)

Возражения ФГУП «Российская телевизионная и радиовещательная сеть» к проекту постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» (см. вложение)

1) Анализ проекта и действующих НПА не указывает, в соответствии с какими НПА Правительство РФ наделено полномочиями по контролю за выполнениями приведённого в проекте Порядка, в части программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции.

В соответствии с проектом Указа Президента РФ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры», поручена разработка Порядка и Требований. Информация контрольных мероприятиях отсутствует.

В настоящее время, Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», Порядок и Требования — не предусмотрены.

Анализ проекта НПА, не даёт возможности определить, в соответствии с какими методиками и(или) на основании каких критериев определяется «аналогичность иностранного ПО».

2) Анализ проекта НПА, не даёт возможности определить различия между терминами «приоритетное» и «преимущественное», а также минимальную долю закупок ПО, телекоммуникационного оборудования и радиоэлектронной продукции отечественного производства из реестров (пример, 100 0/0, 75 0/0 или 5094).

Предлагается дополнить фразой: «..., и обоснованием возможности ИСПОЛЬЗОВШШЯ иностранного ПО/оборуДования:... ». Данная формулировка позволит обосновать необходимость использования ПО и оборудования иностранного производства.

Обоснование даёт возможность минимизировать затраты на перестроение информационной инфраструктуры, а также исполнения Указа Президента РФ от 24 июня 2009 г. № 715 «Об общероссийских обязательных общедоступных телеканалах и радиоканалах» (с изменениями и дополнениями).

3) Указанный в документе срок «1 июля 2021 г.» слишком мал для выполнения данной задачи.

1) согласно ст.6 187-ФЗ Президент Российской Федерации определяет основные направления государственной политики в области обеспечения безопасности критической информационной инфраструктуры. Проект указа разработан во исполнение поручения Президента Российской Федерации

Предлагается скорректировать срок вступления в силу проекта постановления Правительства РФ, а также положения отдельных норм, вводимых проектами Требования и Порядка:

- дополнить исключения из обязательных требований к ПО (пп."а" п. 1 Требований);

- уточнить установленные подпунктом "б" пункта 1 проекта Требований условия использования ПО, телекоммуникационного оборудования и (или) радиоэлектронной продукции, не включенных в РПО (или РЕП) и (или) в РРП;

- внести новую редакцию абзаца первого пункта 1 Порядка и отдельных исправлений в иные пункты Порядка в целях снижения степени избыточных требований и затратной нагрузки на владельцев объектов КИИ, не относившихся к категории значимых объектов КИИ или к субъектам КИИ - государственным органам или государственным учреждениям, а также сокращения неоправданных расходов, связанных с заменой ранее установленного и используемого ПО и оборудования.

Детальные замечания и предложения по проекту постановления Правительства РФ и утверждаемым им Требованиям и Порядку прилагаются.

1.1. Подпунктом «а» пункта 1 проектируемых «Требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры» (далее – Требования) в качестве критерия одного из исключений из обязательных требований к телекоммуникационному оборудованию и радиоэлектронной продукции является «наличие сведений о телекоммуникационном оборудовании и радиоэлектронной продукции в РРП, не позволяющих по своим техническим характеристикам достичь определенных законодательством целей и задач субъекта КИИ». Между тем, для программного обеспечения, используемого на объектах КИИ, подобное исключение также является актуальным, и его распространение на используемое ПО в случаях, предусмотренных законодательством, позволит субъектам КИИ реализовать возложенные на них законодательством цели и задачи, а также выполнить требования выданных лицензий. Тем самым будут снижены риски ненадлежащего исполнения требований субъектами КИИ законодательства о безопасности КИИ и в сфере лицензирования.

В указанных целях предлагаем дополнить подпункт «а» пункта 1 проектируемых Требований новым третьим абзацем следующего содержания:  

«наличия сведений о ПО для электронных вычислительных машин и базах данных, не позволяющих по своим техническим характеристикам достичь определенных законодательством целей и задач субъекта КИИ и необходимых для выполнения требований лицензий, выданных субъектам КИИ;». Абзацы третий и четвертый рассматриваемого подпункта «а» соответственно считать абзацами четвертым и пятым.

1.2. Представляется, что нуждаются в уточнении установленные подпунктом "б" пункта 1 проекта Требований условия использования ПО, телекоммуникационного оборудования и (или) радиоэлектронной продукции, не включенных в РПО (или РЕП) и (или) в РРП, согласно которым должна быть обеспечена:

 возможность модернизации ПО, телекоммуникационного оборудования и (или) радиоэлектронной продукции российскими организациями, зарегистрированными как юридические лица в соответствии с законодательством Российской Федерации, являющимися резидентами Российской Федерации;

возможность гарантийного обслуживания и технической поддержки ПО, телекоммуникационного оборудования и (или) радиоэлектронной продукции российскими организациями, зарегистрированными как юридические лица в соответствии с законодательством Российской Федерации, являющимися резидентами Российской Федерации.

Во-первых, согласно законодательству Российской Федерации, предусмотрены различающие по критериям отнесения и объемам правосубъектности виды «резидентов Российской Федерации». К основным из них относятся налоговые резиденты, определяемые в соответствии со ст. 246.2 Налогового кодекса Российской Федерации, и валютные резиденты Российской Федерации, отвечающие требованиям Федерального закона от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле».

В целях более точного толкования и исполнения Требований предлагаем уточнить вид «резидентов Российской Федерации».

Во-вторых, рассматриваемые условия подпункта «б» пункта 1 проекта Требований использования ПО, телекоммуникационного оборудования и (или) радиоэлектронной продукции, не включенных в РПО (или РЕП) и (или) в РРП, в текущий период времени представляются избыточными для субъектов КИИ, не относящихся к государственным органам или государственным учреждениям, и которым не принадлежат на праве собственности, аренды или ином законном основании значимые объекты КИИ. Представляется, что на первоначальном этапе действия Требований для объектов КИИ, не относящихся к категории значимых или не имеющих отношение к субъектам КИИ из числа государственных органов и государственных учреждений, целесообразно предусмотреть отлагательный срок (в течение нескольких лет) вступления в силу указанного требования.

 2.1. В целях снижения степени избыточных требований и затратной нагрузки на владельцев объектов КИИ, не относившихся к категории значимых объектов КИИ или к субъектам КИИ - государственным органам или государственным учреждениям, а также сокращения неоправданных расходов, связанных с заменой ранее установленного и используемого ПО и оборудования, предлагаем абзац первый пункта 1 «Порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» изложить в следующей редакции:

 «1.      Порядок перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции (далее соответственно – Порядок, ПО) распространяется на принадлежащие на праве собственности, аренды или ином законном основании субъектам критической информационной инфраструктуры (далее – КИИ) значимые объекты КИИ, обеспечивающие функционирования критически важных объектов.».

.2.2. Одновременно в тех же целях по далее тексту исключить следующие слова: «ранее установленного и используемого и (или)» и «используемых» в соответствующем числе.  

 3. Пункт 5 проекта постановления «Правительства Российской Федерации «Об утверждении Требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры и Порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» изложить в соответствии с текстом проекта Указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры».

С учетом того, что в пункте 2 текста проектируемого Указа Президента Российской Федерации срок перехода субъектов критической информационной инфраструктуры на преимущественное использование российского программного обеспечения определен до 1 января 2023 г., а срок перехода на преимущественное использование российского телекоммуникационного оборудования и радиоэлектронной продукции – до 1 января 2024 г., то срок вступления в силу рассматриваемого проекта постановления Правительства Российской Федерации установить не ранее 1 года с момента его подписания.

1) учитывая, что отнесение информационных систем, автоматизированных систем управления технологическими процессами и информационно-телекоммуникационных систем к значимым объектам КИИ осуществляется заказчиком самостоятельно, распространение требований проекта указа исключительно на значимые объекты КИИ будет являться дополнительной причиной для уклонения от категорирования объектов критической информационной инфраструктуры и реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ

Проектом постановления Правительства РФ (проект Постановления) устанавливаются:

- Требования к программному обеспечению и оборудованию, используемому на объектах критической информационной инфраструктуры (КИИ);

- Порядок перехода на преимущественное использование российского программного обеспечения и оборудования.

 

Во-первых, в проектируемых Требованиях к программному обеспечению и оборудованию (далее - Требования) проведена подмена понятий: требования устанавливаются  не к самому программному обеспечению и оборудованию, а к другой сущности -  требованиям по их использованию: включение в соответствующий реестр,  обеспечение модернизации, гарантийного обслуживания и поддержки российскими организациями.

 

Во-вторых, порядок установления обязательных требований определен законодательством Российской Федерации:

Федеральным законом от 27 декабря 2002 года № 184-ФЗ «О техническом регулировании»;

Федеральным законом от 31 июля 2020 года № 247-ФЗ «Об обязательных требованиях в Российской Федерации»;

Федеральным законом от 7 июля 2003 года № 126-ФЗ «О связи».

Проектируемые в проекте Постановления «Требования к программному обеспечению и оборудованию, используемому на объектах КИИ» не соответствуют вышеуказанному законодательству.

 

В-третьих, проектируемые в п.п.2 и 3 Требований устанавливают право федеральных органов исполнительной власти самостоятельно утверждать некие дополнительные требования без установления закрытого перечня таких требований. Введение такой нормы носит коррупционный характер и не позволяет субъектам КИИ планировать реализацию вновь возникающих требований с исполнением «вчера»;

 

В-четвертых, говоря о Порядке перехода следует отметить, что Порядком не предусмотрены критерии принятия решения и порядок согласования перечней (специальная Комиссия, должностное лицо) уполномоченным органом  по результатам рассмотрения перечней ПО и (или) оборудования, уполномоченный орган, в который был направлен соответствующий перечень. Кроме того, не определены основания для отказа в согласовании.

 

В-пятых, порядком не рассмотрены процедуры для программно-аппаратных средств.

 

В-шестых, вызывает вопросы и порядок формирования Плана перехода на преимущественное использование российского ПО и (или) оборудования. Наличие, например, соответствующего аналога оборудования в реестре не говорит о масштабах его производства, стоимости, в том числе стоимости владения, возможных сроках поставки и установки, возможности дальнейшей модернизации, гарантийной поддержки и обслуживания.  Без понимания этих показателей План перехода составить невозможно или это будет только план на бумаге.

 

В силу изложенного, предлагаемый к рассмотрению проект постановления Правительства РФ частично противоречит действующему законодательству не полностью урегулирует рассматриваемую сферу деятельности и требует серьезной переработки.

1) не представлены обоснования

2) не представлены обоснования

3) не представлены обоснования. Указанные требования будут разрабатываться в установленном порядке, в том числе включая процедуры общественного обсуждения и антикоррупционной экспертизы

4) порядок проведения анализа перечней используемых и (или) планируемых к использованию иностранных ПО, телекоммуникационного оборудования и радиоэлектронной продукции планируется утвердить совместным приказом Минцифры России, Минпромторга России, ФСБ России и ФСТЭК России

 


   Даже не знаю как реагировать на ответы Минцифры. Вот сами написали "2) согласно 187-ФЗ критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов", но в проекте Порядка перехода и проекте требований что сами написали? "2.Настоящий Порядок устанавливает процесс перехода субъектов КИИ на преимущественное использование российского ПО, телекоммуникационного оборудования и радиоэлектронной продукции, используемых на объектах КИИ". Да и проект Указа про объекты КИИ. Не подпадают сети электросвязи под действия этого Указа. И СрЗИ и средства ГосСОПКА не попадут.

   А как бьются за полномочия назначить контролирующие ФОИВ? 

"Утверждение требований и порядка подразумевает определение методов и способов контроля их исполнения". Только вот не работает "подразумевает" в законодательстве.

    И каким образом Минцифры и Минпромторг должны контролировать сами себя? Они же участники процедуры перехода в Порядке?

    Если так хочется обосновать контрольные функции ФОИВ через утверждение Порядка, то надо соответствующий раздел Порядка разработать, описывающий функции по контролю. Исключить коррупционную составляющую и т.д. Дело ведь серьезное - экономическая безопасность КИИ РФ в опасности.


   Призываю проявить активную гражданскую позицию и подать замечания/предложения до 1 марта 2021 года - https://regulation.gov.ru/Projects/List#npa=112842 . Нам потом с этим законодательством жить и исполнять его.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности