Обеспечение технологической независимости КИИ. Позиция Минэкономразвития.

Обеспечение технологической независимости КИИ. Позиция Минэкономразвития.


   Первоначально, Минцифры пыталось провести нормативку по импортозамещению в КИИ в очень упрощенном виде. Сразу одним пакетом НПА разного уровня (Указ Президента +Постановление Правительства) и без оценки регулирующего воздействия. Благодаря нашим замечаниям на этапе общественного обсуждения, Минцифры пришлось не только перейти к раздельному согласованию Указа и ПП, ни и сформировать отчет с оценкой регулирующего воздействия. Собственно, весь отрицательный отзыв Минэкономразвития относится не к самому проекту Указа, а к отчету и обоснованности регулирования сферы КИИ предложенным способом. name='more'>

   Ранее уже проект Указа рассматривал - https://valerykomarov.blogspot.com/2021/01/2.html

Важно понимать, что отзыв Минэкономразвития не относится к проекту Постановления Правительства,  то есть - к порядку  перехода на отечественное ПО и радиоэлектронное оборудование. Но, у нас еще есть возможность повлиять именно на проект Порядка перехода.

До 1 марта 2021 года длится этап общественного обсуждения. Проявите активную гражданскую позицию! Ссылка для подачи замечаний -  https://regulation.gov.ru/Projects/List#npa=112842

Минэконмразвития молодцы, правильно ставят вопрос: В этой связи представляется необходимым конкретизировать термин «объекты КИИ»!!!

И совершенно верно указываю, что к ОКИИ по 187-ФЗ относятся ВСЕ! ИС/ИТКС/АСУ субъекта КИИ. То есть, заменять на отечественное придется ВСЕ радиоэлектронное оборудование и ПО в организации, а не только входящее в состав объектов КИИ из утвержденного Перечня!

Собственно, во время телемоста Москва-Магнитогорск это подтвердил и Лютиков В.С. (ФСТЭК России). Очень печально, что не смотря на все призыва субъектов КИИ, а теперь и официальных заявлений ФОИВ, ФСТЭК и ФСБ не видит оснований для внесения изменений в ст.2 187-ФЗ.


ЗАКЛЮЧЕНИЕ  № 3804-АХ/Д26и от 11.02.2021

об оценке регулирующего воздействия на проект указа Президента Российской Федерации 

‎«О мерах экономического характера по обеспечению технологической независимости 

‎и безопасности объектов критической информационной инфраструктуры»

Минэкономразвития России в соответствии с пунктом 26 Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии, утвержденных постановлением Правительства Российской Федерации от 17 декабря 2012 г. № 1318 (далее – Правила), рассмотрело проект указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» (далее – проект акта), разработанный и направленный для подготовки настоящего заключения Минцифры России (далее – разработчик), и сообщает следующее. 

Разработчиком проведены публичные обсуждения проекта акта и сводного отчета о проведении оценки регулирующего воздействия (далее – сводный отчет) в период с 29 октября по 26 ноября 2020 года.

Информация об оценке регулирующего воздействия проекта акта размещена разработчиком на Федеральном портале проектов нормативных правовых актов ‎в информационно-телекоммуникационной сети «Интернет» по адресу: regulation.gov.ru (ID проекта: 02/06/10-20/00109874). Проект акта направлен разработчиком для подготовки настоящего заключения впервые. Минэкономразвития России в соответствии с пунктом 28 Правил были проведены публичные консультации с представителями субъектов Российской Федерации в период с 15 по 22 января 2021 года. В ходе публичных консультаций были представлены позиции отдельных государственных органов субъектов предпринимательской деятельности. Проект акта разработан Минцифры России во исполнение подпункта «д» пункта 1 поручения Президента Российской Федерации от 2 июля 2019 г. № Пр-1180 в целях обеспечения технологической независимости критической информационной инфраструктуры (далее – КИИ).

Проектом акта устанавливается требование к субъектам критической информационной инфраструктуры по переходу на преимущественное использование российского программного обеспечения (далее – ПО) до 1 января 2023 г. и российского телекоммуникационного оборудования и радиоэлектронной продукции (далее – оборудование) до 1 января 2024 г., а также предусматривается наделение Правительства Российской Федерации полномочиями по утверждению требований к программному обеспечению и оборудованию, используемому на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения и оборудования.

Проект акта реализуется через проект постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» (далее – проект постановления).

Проектом постановления для субъектов регулирования для перехода ‎на преимущественное использование российского ПО и оборудования устанавливаются следующие обязанности:

а) провести аудит существующего и (или) планируемого к созданию объекта КИИ, определить их текущие показатели и характеристики;

б) провести анализ наличия аналогов используемого (планируемого ‎к использованию) иностранного ПО и (или) оборудования, текущих сроков амортизации используемого субъектом КИИ оборудования и срока действия прав на использование ПО в отношении используемого ПО и (или) оборудования;

в) направить на согласование перечень используемого и (или) планируемого к использованию иностранного ПО и (или) оборудования с кратким обоснованием предъявляемых требований в части ПО в Минцифры России, а в части оборудования в Минпромторг России.

г) при наличии (в случае необходимости) согласования Минцифры России и (или) Минпромторга России определить перечень потенциального российского ПО и (или) оборудования для дальнейшего перехода на преимущественное его использование в своей деятельности;

д) с учетом сроков перехода на преимущественное использование российского ПО ‎и оборудования, установленных проектом указа, подготовить и утвердить план перехода ‎на преимущественное использование российского ПО и (или) оборудования;

е) в течение 30 рабочих дней с момента утверждения направить копию такого плана в Минцифры России и Минпромторг России.

Указанные обязанности субъектов предпринимательской деятельности приведены разработчиком в разделе 11 сводного отчета, что позволяет анализировать риски предлагаемого регулирования в комплексе.

Концептуально поддерживая необходимость обеспечения информационной безопасности, отмечаем, что предлагаемые для введения обязательные требования должны основываться на рисках причинения вреда охраняемым законом ценностям, закрепленных пунктом 1 статьи 5 Федерального закона от 31 июля 2020 г. № 247-ФЗ «Об обязательных требованиях в Российской Федерации» (далее – Закон об обязательных требованиях).

Кроме того, установление обязательных требований в соответствии со статьей 4 Закона об обязательных требованиях должно основываться в том числе на принципе их исполнимости.

На основании анализа регулирования, предлагаемого разработчиком, были выявлены следующие риски.

1. Разработчиком в сопроводительных материалах к проекту акта приложены позиции субъектов предпринимательской деятельности, разработчиков российского ПО и российского оборудования, отражающие готовность производства необходимого количества оборудования и установки ПО путем реализации проекта постановления. Однако разработчиком не приведена информация о количестве объектов КИИ в том числе в разрезе видов оборудования, их производителе, влиянии такого оборудования на безопасность информационных систем и хранящихся в них данных. Такая информация позволила бы ранжировать устанавливаемые требования в зависимости от вероятности риска причинения вреда охраняемым законом ценностям.

В отсутствие такого анализа обоснованность суждения о возможности удовлетворения спроса потребителей в обозначенные проектом акта сроки может быть поставлена под сомнение.

Следует отметить, что частичный анализ функционирования отдельного оборудования возможен. Так, например, информация о значимых объектах КИИ имеется ‎в распоряжении ФСТЭК России.

По экспертным оценкам субъектов предпринимательской деятельности, количество значимых объектов КИИ может составлять более 25 тысяч.

Отмечаем, что отсутствие детального анализа имеющегося иностранного оборудования у субъектов КИИ не позволяет сделать вывод о реализуемости предлагаемого регулирования в горизонте среднесрочного планирования.

При этом проектом акта предлагается обеспечить переход на преимущественное использование российского ПО до 1 января 2023 г. и российского оборудования в срок ‎до 1 января 2024 года.

Учитывая существенное количество объектов КИИ, реализация проектируемого регулирования в предлагаемые сроки представляется трудновыполнимой.

На основании изложенного считаем, что на данном этапе необходимо проведение инвентаризации имеющегося у субъектов КИИ оборудования. 

Кроме того, учитывая значительное количество объектов КИИ, считаем необходимым поэтапное внедрение проектируемого регулирования, в том числе в разрезе категорий объектов КИИ, которые отражают риск причинения вреда, а также вероятности наступления такого риска.

Отдельно следует отметить, что в соответствии со статьей 7 Федерального закона ‎от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Закон № 187-ФЗ) категорирование объекта КИИ представляет собой установление его соответствия критериям значимости (социальная, политическая, экономическая, экологическая, значимость для обеспечения обороны страны, безопасности государства и правопорядка).

В этой связи может быть сделан вывод, что нарушение функционирования объектов КИИ, не отнесенных к значимым, не несет существенный риск причинения вреда охраняемым законом ценностям и не должно регулироваться законодательством.

Отдельно необходимо обратить внимание, что отдельные государственные информационные системы не совместимы с российским ПО, в связи с чем необходимо также оценить необходимость доработки государственных информационных систем в части совместимости с отечественным оборудованием и ПО.

В этой связи должны быть оценены сроки вступления предлагаемого регулирования с разделением таких сроков по категориям объектов КИИ, а проектируемое регулирование не должно распространяться на объекты КИИ, не отнесенные к значимым и находящиеся в эксплуатации.

2. Разработчиком в сводном отчете отмечается, что расходов средств бюджетов бюджетной системы Российской Федерации и субъектов предпринимательской деятельности при реализации предлагаемого регулирования не потребуется.

Вместе с тем проектируемое регулирование потребует от субъектов КИИ значительных затрат как на администрирование (инвентаризацию, проведение анализа рынка, подготовку документации и ее согласование с государственными органами, пересмотр бюджетов субъектов Российской Федерации и муниципальных образований, субъектов предпринимательской деятельности, закупки оборудования, его тестирование ‎и обеспечение совместимости), так и на замену ПО и оборудования.

По оценкам органов государственной власти субъектов Российской Федерации, представленным в рамках публичных консультаций, например, в Свердловской области в состав иностранного ПО и оборудования, подлежащего замене, входит более 30 тысяч продуктов совокупной стоимостью более 4,7 млрд рублей (в Тюменской области – порядка 2 млрд рублей, в Республике Саха (Якутия) – более 1 млрд рублей, в Карачаево-Черкесской Республике – порядка 44 млн рублей, в Еврейской автономной области – порядка 24 млн рублей, в Республике Марий Эл – 17 млн рублей). 

На основании оценок, представленных государственными органами субъектов Российской Федерации, можно предположить, что порядка 90% иностранного ПО ‎и оборудования имеют схожие по техническим характеристикам российские аналоги.

Таким образом, предположив, что инфраструктура регионов Российской Федерации и стоимость российского оборудования с иностранным схожи, совокупные затраты субъектов Российской Федерации могут быть значительными.

Затраты субъектов предпринимательской деятельности также будут существенными.

Объем затрат одной только банковской сферы составит, по экспертной оценке Ассоциации банков России, более 700 млрд рублей (без учета затрат ‎на покупку дополнительного серверного оборудования и параллельную поддержку работоспособности двух систем до момента перехода на целевое программное обеспечение, затрат на наем и обучение персонала, обучение сотрудников кредитных организаций работе с новым ПО).

На основании изложенного, а также учитывая замечание 1 настоящего заключения, представляется целесообразным определить количество объектов КИИ, провести анализ ‎их возможной замены отечественным ПО и оборудованием, оценить затраты субъектов предпринимательской деятельности и государственных органов, а на основании такого анализа проектировать предлагаемое регулирование, учитывая переходный период на необходимость планирования средств бюджетов как организаций, так и бюджетной системы Российской Федерации.


3. Содержащиеся в проекте акта требования также содержат признаки противоречия международным обязательствам Российской Федерации и могут создать соответствующие международно-правовые и политические риски. 

4. Дополнительно отмечаем, что в действующем законодательстве понятие объекты КИИ (значимые объекты КИИ) имеет высокую вариативность, что на практике может быть сопряжено с некорректностью трактовки такого термина субъектами предпринимательской деятельности и представителями контрольных органов. Так, в соответствии со статьей 2 Закона № 187-ФЗ к объектам КИИ относятся все информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.

К информационной системе в соответствии с Федеральным законом от 27 июля ‎2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» относится совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; к информационно-телекоммуникационной сети – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. К автоматизированной системе управления относится в соответствии с Законом № 187-ФЗ комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

То есть круг объектов КИИ, используемых на производстве, является достаточно широким.

Ранее в сопроводительных материалах к одному из проектов нормативных правовых актов в данной сфере ФСТЭК России отмечалось, что требования Закона № 187-ФЗ выполняются порядка 1% субъектов КИИ.

Вместе с тем ФСТЭК России разработан законопроект об установлении ответственности за непредставление сведений об имеющихся объектах КИИ в ФСТЭК России, однако привлечение к такой ответственности может произойти только в случае выявления незаявленных объектов КИИ. Учитывая, что отдельные объекты КИИ ‎не являются значимыми и не оказывают значительного влияния на безопасность, вероятность выявления таких объектов КИИ может быть оценена как низкая.

В этой связи представляется необходимым конкретизировать термин «объекты КИИ».

По результатам оценки регулирующего воздействия Минэкономразвития России может быть сделан вывод о том, что:

наличие проблемы и целесообразность ее решения с помощью регулирования, предусмотренного проектом акта, обоснованы недостаточно;

 в проекте акта выявлены положения, которые вводят избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствуют их введению, а также способствуют возникновению необоснованных расходов субъектов предпринимательской и иной деятельности или способствуют возникновению необоснованных расходов бюджетов всех уровней бюджетной системы Российской Федерации.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности