пятница, 8 января 2021 г.

Обеспечение технологической независимости КИИ. Результат попытки № 2.

  



    Вторая версия законопроекта по обеспечению технологической независимости КИИ РФ продолжила свою жизнь. Посмотрим чем закончился этап общественного обсуждения законопроекта попытки № 2.

     Результаты общественного обсуждения попытки № 1 - https://valerykomarov.blogspot.com/2020/11/2.html

  Сейчас доработанный по замечаниям проект Указа выглядит так (зачеркнуты первоначальные формулировки):

  Правительству Российской Федерации до 1 сентября 2020 г в течение трех месяцев со дня подписания настоящего Указа утвердить требования к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядок перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции.

2.Субъектам критической информационной инфраструктуры, руководствуясь Порядком, утверждаемым Правительством Российской Федерации, до 1 января 2024 г. до 1 января 2023 г. осуществить переход на преимущественное использование российского программного обеспечения и до 1 января 2025 г до 1 января 2024 г. осуществить переход на преимущественное использование российского телекоммуникационного оборудования и радиоэлектронной продукции.


   А начиналось все вот с этих сроков:

"Субъектам критической информационной инфраструктуры, руководствуясь Порядком, утверждаемым Правительством Российской Федерации, до 1 января 2021 г. осуществить переход на преимущественное использование российского программного обеспечения и до 1 января 2022 г. осуществить переход на преимущественное использование российского оборудования."

   Итог: после попытки № 1 с нереальными сроками перехода и бурной реакцией субъектов КИИ на происходящее, последовала версия с более реальными сроками перехода, но с ужесточением правил перехода. Так, под требования импортозамещения "подвели" средства ГосСОПКА и системы обеспечения безопасности ЗОКИИ (средства защиты информации). И в процессе обсуждения второй версии проекта Указа, сроки опять ужесточили. Интересно, а кто же убедил Минцифры, что сдвинутые на год сроки более реальные?

    Может это мы на этапе общественного обсуждения об этом просили?

СВОДКА

предложений по итогам размещения текста проекта о подготовке нормативного правового акта

«О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры»

ID проекта: 02/06/10-20/00109874

Ссылка на проект: https://regulation.gov.ru/p/109874

Дата проведения публичного обсуждения: 29.10.2020 – 26.11.2020

Количество экспертов, участвовавших в обсуждении: 20

Результат:

Общее количество поступивших предложений - 53 Общее количество учтенных предложений- 0!!!! Общее количество частично учтенных предложений -2 Общее количество неучтенных предложений - 51!!!! Замечу, что отзывы давались не только гражданами, но и крупными ассоциациями/организациями - Российский союз промышленников, ФГУП "Российская телевизионная и радиовещательная сеть", ПАО "Интер РАО", ПАО "ВымпелКом", Ассоциации «Совет производителей энергии», Ассоциации предприятий черной металлургии "Русская Сталь", АО "МХК "ЕвроХим".

Отмечу наиболее характерные ответы Минцифры:

1. "Технологическая независимость объекта КИИ напрямую связана с обеспечением безопасности КИИ Российской Федерации, что соответствует целям 187-ФЗ" и "согласно ст.6 187-ФЗ Президент Российской Федерации определяет основные направления государственной политики в области обеспечения безопасности критической информационной инфраструктуры. Проект указа разработан во исполнение поручения Президента Российской Федерации"

Остается надежда на Минюст, который должен указать авторам законопроекта, что 187-ФЗ регулирует не все вопросы обеспечения безопасности КИИ РФ, а только в конкретно указанной части

Статья 1. Сфера действия настоящего Федерального закона Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

2. "Проект указа направлен на преимущественный переход на отечественное ПО/оборудование, а не безусловную замену всего иностранного ПО/оборудования."

И что такое преимущественный переход тогда? Вот ответ от авторов: преимущественное использование означает, что при наличии выбора между аналогичным российским и иностранным ПО/оборудованием, приоритет должен отдаваться российскому ПО/оборудованию.

В проекте Порядка перехода авторы указали:

"Под преимущественным использованием понимается приоритетное использование российского ПО и (или) оборудования при наличии соответствующих российских аналогов."

Судя по ответу авторов: Порядок действий при отсутствии отечественных аналогов предусмотрен пунктом 1 проекта требований к программному обеспечению и оборудованию, используемому на объектах критической информационной инфраструктуры - возможность обоснования необходимости использования иностранного ПО/оборудования.

Это логично. Если не на что менять, то и перехода не будет. Только вот подмена понятий происходит. Речь же не про "запрет на использование иностранного", а про "замену всего иностранного". И возникает следующий вопрос:


Сколько процентов ПО и оборудования должен субъект "импортозаменить", что бы отчитаться об успешном переходе на отечественное?

Опрос, проведенный в телеграм-канале - https://t.me/ruporsecurite/652, показал преобдажание позиции - достаточно более 50%.

  3. "Учитывая, что отнесение информационных систем, автоматизированных систем управления технологическими процессами и информационно-телекоммуникационных систем к значимым объектам КИИ осуществляется заказчиком самостоятельно, распространение требований проекта указа исключительно на значимые объекты КИИ будет являться дополнительной причиной для уклонения от категорирования объектов критической информационной инфраструктуры и реализации положений Федерального закона от 26 июля 2017 г. № 187-ФЗ."


   Остается только порекомендовать авторам законопроекта прочитать ст.7 в 187-ФЗ и ПП127. Если уж на то пошло, то отнесение ИС/АСУ/ИТКС просто к объектам КИИ осуществляется организацией самостоятельно! И никакие редакции Указов на это не повлияют. А вот, проверка соблюдения процедуры категорирования объектов КИИ и правильность принятия решения об отсутствии необходимости присвоения категории значимости (отнесение к незначимым объектам КИИ) - предусмотрена в обязательном порядке, и проводится ФСТЭК России. И по докладам ФСТЭК, возвращается на доработку до 40% сведений об объектах КИИ. По сути, Минцифры публично и неоднократно указывает на недостаточную эффективность деятельности ФСТЭК.


  4. "Замечания касаются дополнительных проектов актов, для которых предусмотрена отдельная процедура общественного обсуждения в случае принятия проекта указа" и "Замечание касается проекта порядка направления на согласование и рассмотрения перечня иностранного программного обеспечения и (или) оборудования, используемого и (или) планируемого к использованию на объектах критической информационной инфраструктуры, который будет размещен для общественного обсуждения отдельно."

    Если я правильно понял ответ Минцифры, то наши замечания о недопустимости рассмотрения одним пакетом и проекта Указа и Постановления Правительства учтены. Ждем публикации проектов НПА под принятый Указ.

   5. "выделение средств из бюджетов бюджетной системы Российской Федерации не предусмотрено".

   Странно видеть такие утверждения от ОИВ, распределяющего бюджетные субсидии для государственных субъектов КИИ на реализацию 187-ФЗ.

   6. "Действующее законодательство не запрещает разработчикам ПО использовать свободно распространяемое программное обеспечение (СПО) на основе открытых (неисключительных) лицензий (например MPL, GPL) и приобретать и исключительное право на созданное ПО.

Разработка продуктов на базе компонентов с неисключительными лицензиями (к которым относятся и любые открытые) – не противоречит возможности получения исключительных прав на свои продукты, если соблюсти все условия исходных лицензий.

Правила формирования и ведения реестра российского ПО, утвержденные постановлением Правительства РФ от 16.11.2015, не предусматривают ограничений для включения в реестр российского ПО программных продуктов, созданных на базе СПО.

Таким образом, если ПО создано на базе СПО, включено в реестр российского ПО и соответствует всем иным требованиям в части обеспечения безопасности  и защиты конфиденциальной информации, такое ПО может быть использовано на объектах критической информационной инфраструктуры"

Теперь ждем общественного обсуждения НПА, обеспечивающих выполнение этого Указа.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий