Обеспечение технологической независимости КИИ. Снова Минэкономразвития против.

Обеспечение технологической независимости КИИ. Снова Минэкономразвития против.

 


  Ранее Минэкономразвитие уже давала отрицательное заключение на попытки Минцифры провести проект Указа по обеспечению технологической независимости КИИ -  https://valerykomarov.blogspot.com/2021/02/blog-post_19.html

  Теперь аналогичное заключение получил проект Постановления Правительства.

name='more'>

   Отмечу, что 21.04.2021 на Инфофорум-Ярославль  в докладе представителя основного лоббиста данных НПА прозвучало, что Указ уже на выходе. Соответственно, отрицательное заключение Минэкономразвития не повлияло на процедуру. Скорее всего такая же реакция будет и на текущий отзыв. В любом случае, сроки перехода на отечественное заданы в Указе, а не в ПП.

    Более всего в текущей ситуации меня огорчает два момента:

  1. За 4 года так и не появилась обоснованная оценка количества субъектов КИИ, ЗОКИИ и НОКИИ в стране.

  2. Минцифры не воспринимает замечания по тексту проектов НПА и просто "продавливает" исходную редакцию проекта НПА. Замечания ведь в большинстве своем рабочие, направленные на обеспечение реализуемости процедур.

№ 13768-АХ/Д26и от 30.04.2021

ЗАКЛЮЧЕНИЕ

об оценке регулирующего воздействия на проект постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым
на объектах критической информационной инфраструктуры, и порядка перехода
на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции»
 

Минэкономразвития России в соответствии с пунктом 26 Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии, утвержденных постановлением Правительства Российской Федерации
от 17 декабря 2012 г. № 1318 (далее – Правила), рассмотрело проект постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» (далее соответственно – проект акта, проект Требований, проект Порядка перехода), разработанный и направленный для подготовки настоящего заключения Минцифры России (далее – разработчик), и сообщает следующее.

Разработчиком проведены публичные обсуждения проекта акта и сводного отчета
о проведении оценки регулирующего воздействия (далее – сводный отчет) в период
с 2 февраля по 1 марта 2021 года.

Информация об оценке регулирующего воздействия проекта акта размещена разработчиком на Федеральном портале проектов нормативных правовых актов
в информационно-телекоммуникационной сети «Интернет» по адресу: regulation.gov.ru
(ID проекта: 02/07/02-21/00112842).

Проект акта направлен разработчиком для подготовки настоящего заключения впервые.

Минэкономразвития России в соответствии с пунктом 28 Правил были проведены публичные консультации с представителями субъектов Российской Федерации в период
с 14 по 20 апреля 2021 года
. В ходе публичных консультаций позиции субъектов предпринимательской деятельности не поступали.

Проект акта разработан Минцифры России во исполнение подпункта «д» пункта 1 поручения Президента Российской Федерации от 2 июля 2019 г. № Пр-1180 в целях обеспечения технологической независимости критической информационной инфраструктуры (далее – КИИ) в рамках реализации проекта указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» (далее – проект указа).

Проектом указа предлагается установить требование к субъектам КИИ по переходу на преимущественное использование российского программного обеспечения (далее – ПО) до 1 января 2023 г. и российского телекоммуникационного оборудования
и радиоэлектронной продукции (далее – оборудование) до 1 января 2024 г.
, а также предусматривается наделение Правительства Российской Федерации полномочиями
по утверждению требований к программному обеспечению и оборудованию, используемому на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения
и оборудования.

Пунктом 3 проекта Порядка перехода для субъектов КИИ для перехода
на преимущественное использование российского ПО и оборудования устанавливаются следующие обязанности:

а) провести аудит существующего и (или) планируемого к созданию объекта КИИ, определить их текущие показатели и характеристики;

б) провести анализ наличия аналогов используемого (планируемого к использованию) иностранного ПО и (или) оборудования, текущих сроков амортизации используемого субъектом КИИ оборудования и срока действия прав на использование ПО в отношении используемого ПО и (или) оборудования;

в) направить на согласование перечень используемого и (или) планируемого
к использованию иностранного ПО и (или) оборудования с кратким обоснованием предъявляемых требований:

- в части ПО (за исключением банковской сферы и иных сфер финансового рынка) – в Минцифры России;

- в части оборудования (за исключением банковской сферы и иных сфер финансового рынка) в Минпромторг России;

- в части ПО, оборудования, используемых в банковской сфере и в иных сферах финансового рынка в Банк России.

г) при наличии (в случае необходимости) согласования Минцифры России, Минпромторга России и (или) Банка России определить перечень потенциального российского ПО и оборудования для дальнейшего перехода на преимущественное использование в своей деятельности;

д) с учетом сроков перехода на преимущественное использование российского ПО
и оборудования, установленных проектом указа, в течение 180 дней с момента принятия проекта акта подготовить и утвердить план перехода на преимущественное использование российского ПО и оборудования;

е) в течение 30 рабочих дней с момента утверждения направить копию такого плана в Минцифры России, Минпромторг России, Банк России при необходимости.

Концептуально поддерживая необходимость обеспечения информационной безопасности, отмечаем, что при установлении обязательных требований должны быть оценены риски причинения вреда охраняемым законом ценностям в соответствии
с частью 1 статьи 5 Федерального закона от 31 июля 2020 г. № 247-ФЗ «Об обязательных требованиях в Российской Федерации» (далее – Закон об обязательных требованиях).

Кроме того, установление обязательных требований в соответствии со статьей 4 Закона об обязательных требованиях должно основываться в том числе на принципе
их исполнимости.

На основании анализа регулирования, предлагаемого разработчиком, были выявлены следующие риски.

1. Разработчиком не приведена информация о количестве объектов КИИ,
в том числе в разрезе видов оборудования, их производителе, влиянии такого оборудования на безопасность информационных систем и хранящихся в них данных, субъектов КИИ. Такая информация позволила бы ранжировать устанавливаемые требования в зависимости от вероятности
риска причинения вреда охраняемым законом ценностям и снизить нагрузку на субъекты КИИ по реализации предлагаемого регулирования.

По экспертным оценкам субъектов предпринимательской деятельности, количество значимых объектов КИИ может составлять более 25 тысяч, количество незначимых объектов КИИ установить не представляется возможным.

Отсутствие анализа имеющегося иностранного оборудования у субъектов КИИ
не позволяет сделать вывод о сроках реализуемости предлагаемого регулирования.

Учитывая значительное количество объектов КИИ, необходимо проработать поэтапное внедрение проектируемого регулирования, в том числе в разрезе категорий объектов КИИ, которые отражают риск причинения вреда.

Отдельно следует отметить, что в соответствии со статьей 7 Федерального закона
от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» категорирование объекта КИИ представляет собой установление его соответствия критериям значимости (социальная, политическая, экономическая, экологическая, значимость для обеспечения обороны страны, безопасности государства и правопорядка).

В этой связи должны быть оценены сроки вступления проекта указа и проекта акта с разделением таких сроков по категориям объектов КИИ, а проектируемое регулирование не должно распространяться на объекты КИИ, не отнесенные к значимым.

2. Проектом указа предлагается обеспечить переход на преимущественное использование российского ПО до 1 января 2023 г. и российского оборудования в срок
до 1 января 2024 года при соблюдении требований проекта акта.

Вместе с тем проектом акта не предусмотрены какие-либо сроки реализации мероприятий, указанных в подпунктах «а» – «г» пункта 3 проекта Порядка перехода.

На практике это может расцениваться как необходимость уже непосредственного использования российского ПО с 1 января 2023 г. и российского оборудования с 1 января 2024 года.

В рамках проведения согласительных процедур по проекту указа разработчиком отмечалось, что замена ПО и оборудования будет происходить по мере их выбытия в связи с окончанием сроков полезного использования (срока эксплуатации) и сроков окончания прав на ПО, однако это не отражено в проекте акта.

Из проекта акта не представляется возможным однозначно определить, каким действием заканчивается переход на отечественное ПО и оборудование
для выполнения требований проекта указа. Например, достаточно ли утверждения плана
по переходу на преимущественное использование российского ПО и оборудования
с определенным временным горизонтом (после 2024 года).

Отсутствие детального анализа имеющегося иностранного оборудования у субъектов КИИ и отсутствие конечных сроков реализации проекта акта не позволяют однозначно определить выполнимость требований проекта акта в установленные проектом указа сроки.

В проекте акта также не отражено, что отдельные объекты не подлежат амортизации (часть 2 статьи 256 Налогового кодекса Российской Федерации). Более того, сроки амортизации используются в целях налогообложения.

В этой связи их использование в целях реализации проектируемого регулирования не представляется оптимальным. Целесообразно использовать срок эксплуатации, срок службы оборудования и срок действия прав на ПО.

В соответствии со статьей 4 Закона об обязательных требованиях принципами установления и оценки применения обязательных требований являются в том числе правовая определенность, системность и исполнимость, однако указанные проектируемые требования не отвечают таким принципам.

3. Разработчиком в сводном отчете отмечается, что расходов средств бюджетов бюджетной системы Российской Федерации и субъектов предпринимательской деятельности при реализации предлагаемого регулирования не потребуется.

Вместе с тем проектируемое регулирование потребует от субъектов КИИ значительных затрат как на администрирование (инвентаризацию, проведение анализа рынка, подготовку документации и ее согласование с государственными органами, пересмотр бюджетов субъектов Российской Федерации и муниципальных образований, субъектов предпринимательской деятельности, тестирование оборудования и обеспечение совместимости, обучение сотрудников для работы с новым оборудованием и ПО), так и на замену ПО и оборудования.

По оценкам органов государственной власти субъектов Российской Федерации, представленным в рамках публичных консультаций по проекту указа, например,
в Свердловской области в состав иностранного ПО и оборудования, подлежащего замене, входит более 30 тысяч продуктов совокупной стоимостью более 4,7 млрд рублей
(в Тюменской области – порядка 2 млрд рублей, в Республике Саха (Якутия) – более 1 млрд рублей).

На основании оценок, представленных государственными органами субъектов Российской Федерации, можно предположить, что порядка 90% иностранного ПО
и оборудования имеют схожие по техническим характеристикам российские аналоги.

Объем затрат одной только банковской сферы составит, по экспертной оценке Ассоциации банков России, более 700 млрд рублей (без учета затрат на покупку дополнительного серверного оборудования и параллельную поддержку работоспособности двух систем до момента перехода на целевое программное обеспечение, затрат на наем и обучение персонала, обучение сотрудников кредитных организаций работе с новым ПО).

На основании изложенного, а также учитывая замечание 2 настоящего заключения, представляется целесообразным определить количество объектов КИИ, провести анализ их возможной замены отечественным ПО и оборудованием в том числе с учетом сроков их поставки, оценить затраты субъектов предпринимательской деятельности и государственных органов, и на основании такого анализа проектировать предлагаемое регулирование, учитывая переходный период на необходимость планирования средств бюджетов как организаций, так и бюджетной системы Российской Федерации.

4. Проектом акта предлагается установить в том числе требования к ПО
и оборудованию, используемым на объектах КИИ.

Однако пунктами 2 и 3 проекта Требований устанавливаются полномочия
на установление дополнительных обязательных требований к ПО и оборудованию, предназначенным для обеспечения безопасности значимых объектов КИИ, а также предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах.

В соответствии с частью 3 статьи 2 Закона об обязательных требованиях в случаях
и пределах, которые установлены федеральными законами, указами Президента Российской Федерации, обязательные требования могут быть установлены нормативными правовыми актами Правительства Российской Федерации, федеральных органов исполнительной власти.

Проектом указа определено, что требования к ПО и оборудованию устанавливаются Правительством Российской Федерации. Федеральные органы исполнительной власти не наделены такими полномочиями.

Таким образом, требования к ПО и оборудованию должны быть формализованы
в проекте акта.

Кроме того, не представляется возможным определить применимость таких дополнительных требований при их разработке в более поздние сроки после принятия проекта акта и проведения анализа наличия отечественных аналогов, что потребует дополнительных затрат субъектов предпринимательской деятельности на пересмотр ранее полученных данных.

5. Подпунктом «б» пункта 3 проекта Порядка перехода предлагается субъектам КИИ провести анализ наличия аналогов используемого (планируемого к использованию) иностранного ПО и оборудования, включенных в единый реестр российских программ
для электронных вычислительных машин и баз данных, единый реестр программ
для электронных вычислительных машин и баз данных из государств – членов Евразийского экономического союза и (или) единый реестр российской радиоэлектронной продукции, позволяющих по своим техническим, эксплуатационным и функциональным характеристикамдостичь определенных законодательством целей и задач субъекта КИИ.

Указанные критерии представляются недостаточно определенными. Так, в расчет
не принимается, например, разница в стоимости и сроках поставки таких ПО
и оборудования.

В этой связи в случае отсутствия возможности поставки оборудования и ПО
в необходимые сроки, а также по стоимости, значительно превышающей иностранный аналог, проектируемое регулирование способно негативно сказаться на функционировании субъектов КИИ как в части предоставления услуг населению, так и финансово-экономической деятельности субъектов предпринимательской деятельности.

Кроме того, проектом акта предлагается согласовывать перечень используемых
и (или) планируемых к использованию иностранных ПО и оборудования с Минцифры России, Минпромторгом России и Банком России (для субъектов КИИ в банковской сфере), однако критерии такого согласования ни проектом акта, ни иными нормативными правовыми актами не устанавливаются.

Учитывая, что замена иностранного ПО и оборудования отечественным аналогом может быть сопряжена с дополнительными издержками субъектов предпринимательской деятельности, а также с негативными последствиями в функционировании систем субъекта КИИ, считаем необходимым установить однозначные критерии возможности использования иностранного ПО и оборудования.

6. Проектом акта не регламентированы вопросы внесения изменений в план перехода на преимущественное использование российского ПО и оборудования, которые могут быть необходимы по независящим от субъектов КИИ причинам.

В целях учета возможных рисков при правоприменении проекта акта считаем целесообразным установить порядок внесения изменения в план перехода
на преимущественное использование российского ПО и оборудования в проекте акта.

7. В подпункте «в» пункта 3 проекта Порядка перехода указана неверная ссылка.

Так, в соответствии с указанной нормой необходимо направлять на согласование перечень используемых и (или) планируемых к использованию иностранных ПО
и оборудования, указанных в абзацах 2, 3 и 4 подпункта «а» пункта 1 проекта Требований, с кратким обоснованием предъявляемых требований.

Однако абзац 4 подпункта «а» пункта 1 проекта Требований отсутствует.

В этой связи не представляется возможным определить случаи необходимости согласования указанного перечня ПО и оборудования с федеральными органами исполнительной власти.

Кроме того, подпунктом «б» пункта 3 проекта Порядка субъектам регулирования предписывается провести анализ проекта Требований. Предмет такого анализа
не установлен.

В этой связи указанные нормы нуждаются в доработке.

8. Проект акта не предусматривает установление переходного периода, а его положения вступят в силу по общему порядку – по истечении десяти дней после дня их официального опубликования.

Обращаем внимание, что 1 февраля 2021 г. вступила в силу часть 1 статьи 3 Закона об обязательных требованиях, которой предусмотрено, что положения нормативных правовых актов, устанавливающих обязательные требования, должны вступать в силу либо с 1 марта, либо с 1 сентября соответствующего года, но не ранее чем по истечении девяноста дней после дня официального опубликования соответствующего нормативного правового акта, если иное не установлено федеральным законом или международным договором Российской Федерации.

Кроме того, в соответствии с частью 4 статьи 3 Закона об обязательных требованиях нормативным правовым актом федерального органа исполнительной власти, содержащим обязательные требования, должен предусматриваться срок его действия, который не может превышать шесть лет со дня его вступления в силу, за исключением случаев, установленных федеральным законом или принятым в соответствии с ним нормативным правовым актом Правительства Российской Федерации.

В этой связи считаем необходимым установить дату вступления в силу проекта акта в соответствии с требованиями Закона об обязательных требованиях, установить срок действия проекта акта и пересмотреть сроки реализации проектируемого регулирования, предусмотренные проекта указа.

По результатам оценки регулирующего воздействия Минэкономразвития России может быть сделан вывод о том, что:

- проект акта не соответствует Закону об обязательных требованиях;

- наличие проблемы и целесообразность ее решения с помощью регулирования, предусмотренного проектом акта, обоснованы недостаточно;

в проекте акта выявлены положения, которые вводят избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствуют их введению, а также способствуют возникновению необоснованных расходов субъектов предпринимательской и иной деятельности
или способствуют возникновению необоснованных расходов бюджетов всех уровней бюджетной системы Российской Федерации.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности