Вопрос перехода на отечественное ПО и оборудование на объектах КИИ — тема острая и давно обсуждаемая. И чем ближе даты вступления в силу закона, тем чаще можно услышать о возникающих на пути ее реализации проблемах. Так, у Банка России есть ряд предложений, на которые стоит обратить внимание, чтобы скорректировать нормативные документы до их вступления в силу.

Об этих корректировках рассказал первый заместитель директора департамента информационной безопасности Банка России Артем Сычев на организованном комитетом Госдумы по финансовому рынку круглом столе «О законодательных мерах обеспечения информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры».

По его словам, предложения ЦБ исходят из двух существенных рисков, которые могут повлиять на работоспособность финансовых организаций. Первый — использование иностранного программного и аппаратного обеспечения в ядре платежных систем. Второй — защита каналов связи. При этом Артем Сычев отметил, что у Банка России нет сомнений, что в отведенные сроки они уложатся, так как базовое направление — обеспечение безопасности — они обеспечивают.

«Мы, работая с банками по импортозамещению, совершенно точно можем сказать, что сейчас у финансовых организаций до 90% с лишним системного или программного обеспечения, средств разработки или встроенного программного обеспечения являются импортным. Замещение такого объема будет сопровождаться с нарушением сервиса, чего бы Центральному банко точно совершенно не хотелось»,  — отметил в своем выступлении Артем Сычев.

Он также добавил, что порядка 50% прикладного программного обеспечения — это ПО российского или самостоятельного производства. И, к сожалению, тема самостоятельного производства не нашла отражения в проектах нормативных документов, что является существенной проблемой.

Поэтому Артем Сычев озвучил ряд предложений от лица Банка России, которые бы хотелось учитывать при корректировке действующих нормативных документов, описывающих переход на отечественное ПО и оборудование на объектах КИИ.

 

Импортозамещение только для значимых объектов КИИ

По мнению Банка России, целесообразно распространять требования на полное импортозамещение в основном для значимых объектов критической инфраструктуры.

«Риски, которые там возникают, существенно выше по сравнению с другими организациями. И самое главное, надо оценивать экономическую целесообразность затрат, которые понесут финансовые организации (и Центральный банк здесь не исключение — это точно такая же финансовая организация, подпадающая под действие закона). Они будут существенно выше тех прибылей, которые финансовые организации могут иметь», — сказал первый замдиректора департамента информационной безопасности Банка России.

 

Предполагаемая формулировка замены ПО

Также Артем Сычев отметил, что предполагаемая формулировка замены, то есть бинарная логика, которая сейчас положена в основу проекта Постановления Правительства, что именно брать за основу подготовки перехода, не работает для финансовой отрасли.

«Наличие или отсутствие в реестре [реестр отечественного ПО — ред.] не дает основания принимать решение о переходе для большинства финансовых организаций по двум причинам. Первое — это документ не учитывает показатель назначения, и второе — такой вариант перехода не учитывает самостоятельную разработку», — пояснил он.

Остается много вопросов с самостоятельной разработкой: как быть тем организациям, которые ведут самостоятельную разработку? Они не включены в реестр, значит, им надо включаться? Значит, отдельная процедура? Значит, дополнительно наложенные условия на финансовые организации? И всего этого Банку России совершенно точно не хотелось бы.

 

Регистрация на территории РФ

Еще один спорный момент, который отметил Артем Сычев, что условием перехода является исключительно обслуживание и сопровождение ПО организациями, зарегистрированными на территории РФ. Но большинство иностранных компаний либо работают через российских ресейлеров, либо через собственные подразделения, которые являются полноценными юрлицами РФ.

«На наш взгляд, дополнительное такое требования не снимает рисков, которые есть, но порождает дополнительные правовые неопределенности», — сказал Артем Сычев.

 

Процедура предварительной оценки

В документе, который рассказывает о порядке перехода на отечественное ПО, есть процедура предварительной оценки. Но, к сожалению, эта процедура оценки сводится исключительно к бухгалтерским отчетам и не учитывает функционально-технические требования к показателям назначения  программного или аппаратного обеспечения. Поэтому, по мнению ЦБ, необходимо внести «в эту оценку функционально-технического назначения того оборудования и того ПО, которое подлежит замене».

 

Отраслевой регулятор

«Вся концепция перехода построена на том, что два замечательных государственных ведомства с привлечением еще двух определяют, что всем остальным нужно. На наш взгляд, это является абсолютно неверным посылом, Если речь идет о специальном ПО, прикладном ПО, то, безусловно, оценить возможности использования не отечественных ПО может только отраслевой регулятор и никто иной», — отметил первый замдиректора департамента информационной безопасности Банка России.

По его словам, только отраслевой регулятор может знать всю специфику работы, и никакие «великие специалисты из смежных министерств и ведомств» не в силах знать специфику отрасли. «Регулирование по отраслевому принципу считаем крайне важным и хотели бы его всячески продвигать», — заключил Артем Сычев.

8 февраля, 2021