ФЗ импортозамещение

29.06.2015 был принят Федеральный закон № 188-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статью 14 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»» (далее – Закон).

Будучи одним из первых шагов по формированию комплекса мер по импортозамещению программного обеспечения, Закон предусматривает создание единого реестра российских программ для ЭВМ и баз данных (далее – Реестр) в следующих целях:

  • расширение использования российских программ для ЭВМ и баз данных (далее – программное обеспечение);
  • подтверждение происхождения программного обеспечения из России;
  • оказание правообладателям программного обеспечения мер государственной поддержки.

Исходя из пояснительной записки к соответствующему законопроекту, правообладателям, включенным в Реестр программного обеспечения, можно ожидать не только мер государственной поддержки, но и предоставления преференций при осуществлении закупок для государственных и муниципальных нужд.

Об этом также свидетельствуют изменения, вносимые Законом в часть 3 статьи 14 Федерального закона от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд». Указанная статья предусматривает право Правительства РФ устанавливать запреты (ограничения) на допуск иностранных товаров, работ, услуг для целей осуществления закупок. Даже если из указанных запретов (ограничений) Правительством РФ установлены исключения, заказчики при наличии соответствующих обстоятельств обязаны размещать в единой информационной системе в сфере закупок обоснование невозможности соблюдения запретов (ограничений).

Учитывая изложенное, можно ожидать введение Правительством РФ запретов (ограничений) на допуск к закупкам программного обеспечения, которое не включено в Реестр.

Согласно Закону программное обеспечение, включаемое в Реестр, должно соответствовать следующим требованиям:

  1. исключительное право на программное обеспечение принадлежит одному либо нескольким лицам, указанным ниже:

(а) Российской Федерации, ее субъекту или муниципальному образованию;

(б) гражданину РФ;

(в) российской некоммерческой организации, высший орган управления которой формируется указанными в пунктах «а», «б» лицами;

(г) российской коммерческой организации, в которой суммарная доля прямого или косвенного участия лиц, указанных в пунктах «а», «б», составляет более 50%;

  1. программное обеспечение правомерно введено в гражданский оборот и свободно реализуется на территории РФ;
  2. общая сумма выплат по договорам, предусматривающим предоставление интеллектуальных прав, производство работ и оказание услуг по разработке, адаптации, модификации программного обеспечения в пользу иностранных лиц, их представителей и контролируемых ими российских организаций составляет менее 30% выручки правообладателя программного обеспечения за календарный год;
  3. сведения о программном обеспечении и его содержание не составляют государственную тайну;
  4. иные требования, установленные Правительством РФ.

Решение об отказе во включении программного обеспечения в Реестр может быть обжаловано правообладателем в суд в течение трех месяцев со дня получения такого решения.

Более подробно правила формирования и ведения реестра будут установлены Правительством РФ.

Закон вступает в силу с 01.01.2016.

Минэкономразвития предлагает перевести банки и ТЭК на российские оборудование и софт Минэкономразвития предложило запретить использовать зарубежное оборудование и софт на системах критической инфраструктуры. К такой инфраструктуре относятся, например, сети связи банков, транспортных, нефтяных и энергообъектов Юрий Борисов (Фото: Сергей Гунеев / РИА Новости)

Вице-премьер Юрий Борисов, курирующий оборонную промышленность, несколько месяцев назад дал поручение подготовить изменения в закон «О безопасности критической информационной инфраструктуры (КИИ)» для поэтапного замещения используемого иностранного оборудования на таких объектах. Это следует из письма замминистра экономики Азера Талыбова, направленного в возглавляемую Борисовым коллегию Военно-промышленной комиссии России, Федеральную службу по техническому и экспортному контролю (ФСТЭК) и Минкомсвязь (копия письма есть у РБК, его подлинность подтвердил федеральный чиновник).

В письме Талыбов указал, что действующее законодательство не позволяет правительству России устанавливать требования об использовании российского программного обеспечения и оборудования на объектах КИИ. Он предложил дополнить закон «О безопасности КИИ» нормой, обязывающей владельцев использовать только российское оборудование и софт, а также запретить иностранным компаниям «обеспечивать взаимодействие» с сетями и информационными системами критической инфраструктуры. График перехода текущих объектов КИИ на использование отечественных разработок предлагается определить дополнительно.

Представитель Минкомсвязи сообщил, что «вопросы замещения иностранного оборудования сейчас прорабатываются ФСТЭК и Минпромторгом России в рамках соответствующего поручения правительства». Использование преимущественно отечественного софта «позволит повысить безопасность и устойчивость функционирования КИИ и поможет российским разработчикам софта нарастить свою долю на рынке госзакупок и закупок компаний с госучастием».

В пресс-службе Минэкономразвития отказались от комментариев, в аппарате Борисова не ответили на запрос к моменту публикации.

Насколько реально воплотить в жизнь предложения замминистра экономики, разбирался РБК.

Что предписывает закон

Закон «О безопасности критической информационной инфраструктуры» вступил в силу 1 января 2018 года. К объектам критической инфраструктуры в нем отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, энергетики, топливной и атомной промышленности, транспорта, кредитно-финансовой сферы и др.

Владельцы критической инфраструктуры должны подключить свои объекты к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданной ФСБ по поручению президента, и передавать в нее информацию обо всех инцидентах на объектах. Власти на основе информации от владельцев КИИ должны составить реестр таких объектов: в нем все системы КИИ будут разбиты на три категории в зависимости от того, какой ущерб стране и людям будет нанесен, если эту информационную систему атакуют хакеры. Законом введена уголовная ответственность для сотрудников компаний, управляющих объектами КИИ, за нарушение правил эксплуатации, которое повлечет вред для критической инфраструктуры, а также ужесточено наказание для хакеров, которые решат атаковать объекты КИИ.

Зачем ограничивать доступ иностранцам

В письме Талыбов предложил закрепить в законе положение, что у юридических лиц, обеспечивающих взаимодействие сетей и систем критической инфраструктуры, конечными бенефициарами должны быть граждане России без двойного гражданства. Аналогичные требования будут касаться и индивидуальных предпринимателей, взаимодействующих с объектами КИИ.

«Такой подход позволит снизить уровень доступа со стороны иностранных государств и иностранных граждан при обслуживании и развитии объектов критической информационной инфраструктуры», — считает замминистра экономики.

Заместитель секретаря Совета безопасности России Олег Храмов ранее заявлял, что за 2018 год произошло около 17 тыс. кибератак на критическую инфраструктуру России, а на 7 тыс. объектов были попытки установить вредоносное ПО. Большая часть атак (38%), по его словам, затронула предприятия кредитно-финансовой сферы. Храмов предполагал, что за этими атаками могут стоять США: «Аналитические отчеты известных зарубежных компаний показывают, что основным источником распространения вредоносного программного обеспечения являются интернет-ресурсы на территории США».

Аналогичные тезисы выдвинул замначальника Центра защиты информации и специальной связи ФСБ Николай Мурашов. По его словам, общая доля атак на российские информресурсы с территории США составляет примерно 27%. «Прежде всего преступники нацелены на получение сведений о российских технологиях в оборонной и атомной промышленности, энергетике и ракетостроении, а также информации из госсистем управления. В среднем каждая третья атака приходится на кредитно-финансовую схему», — сообщил Мурашов.

ФСБ и ФСТЭК жаловались, что российские компании, управляющие объектами КИИ, обмениваются информацией о кибератаках на свои системы с иностранными организациями без ведома российских спецслужб, что является нарушением действующих нормативных актов.

Можно ли перевести всех на отечественное

Представители ФСБ и ФСТЭК заявляли, что в России работает около 1 млн объектов критической информационной инфраструктуры, при этом каждый объект состоит из десятков или сотен компьютеров или иных типов устройств, говорит консультант по информационной безопасности Cisco Systems Алексей Лукацкий. Он отмечает, что российские производители не имеют мощностей для замены иностранного ПО и оборудования на таком количестве объектов.

«Пару лет назад во время подготовки подзаконных актов к закону «О безопасности КИИ» власти уже предлагали включить в них норму об использовании на подобных объектах только того софта, который включен в реестр отечественного программного обеспечения Минкомсвязи. Владельцы КИИ высказались категорически против. Одна из причин — ничем не обоснованные затраты. Например, один из банков, входящий в топ-5 в России, оценивал переход на отечественное ПО в 400 млрд руб. Но еще важнее отсутствие российского ПО и оборудования, которое должно прийти на смену иностранному», — рассказывает Лукацкий. РБК направил запросы в топ-5 российских банков.

Похожей точки зрения придерживается Вадим Подольный, замгендиректора завода «Физприбор», который занимается разработкой ИТ-систем для управления технологическими процессами на промышленных предприятиях. «Инициатива, возможно, неплохая, если обязать устанавливать российское оборудование и программное обеспечение на новых объектах КИИ, которые пока только проектируются, либо на этапе модернизации или при планово-предупредительном ремонте действующих объектов КИИ. Но останавливать действующий объект КИИ только ради того, чтобы поменять на нем, например, какие-то импортные контроллеры на российские, экономически невыгодно. Замена целесообразна, если, например, софт или оборудование было скомпрометировано», — считает Подольный.

Он заметил, что есть уникальные иностранные разработки, которые российские производители просто не смогут заменить. «Например, программно-аппаратный комплекс Honeywell APC. Он экономит нефтяным предприятиям по 15–20% на эксплуатации за счет эффективности управления, благодаря чему Honeywell (американская корпорация, разрабатывающая системы автоматизации промышленных объектов. — РБК) занимает существенную долю нефтяного рынка», — рассказывает Подольный.

Алексей Лукацкий отмечает, что «организации, осуществляющие взаимодействие с системами критической инфраструктуры», — это довольно размытый термин из действующего законодательства, который вызывает большое количество вопросов с момента появления закона «О безопасности КИИ». «Под него попадают центры обработки данных, облачные провайдеры и, конечно же, интернет-компании, часть из которых сегодня — это публичные акционерные общества, бенефициарами которых могут являться иностранные граждане и юридические лица. Если трактовать этот термин так, то реализовать предложение по ограничению взаимодействия иностранных компаний с объектами критической инфраструктуры просто невозможно», — пояснил он.