Государственно-правовое управление (ГПУ) президента раскритиковало проект указа президента о переходе объектов критической информационной инфраструктуры (КИИ) на отечественное программное обеспечение (ПО) и оборудование, разработанный Минцифры. Документ предлагает установить единый срок импортозамещения в значимых для государства сетях — с 1 января 2023 года, но в нем не оценена возможность исполнения этих требований в указанный срок, кроме того, он может противоречить Конституции, считают в ГПУ.
Фото: Евгений Павленко, Коммерсантъ
“Ъ” ознакомился с отзывом начальника ГПУ президента Ларисы Брычевой на разработанный Минцифры проект указа президента об экономических мерах обеспечения технологической независимости и безопасности объектов КИИ. ГПУ направило документ в аппарат правительства 1 ноября.
К объектам КИИ относятся госорганы, банки, предприятия оборонной промышленности, объекты транспорта, здравоохранения и др. Их технологические сети относятся к критически важным для страны.
В проекте указа Минцифры предлагало установить единый срок перехода КИИ на отечественное оборудование и ПО — 1 января 2023 года. Организации должны будут реализовать это требование при наличии отечественных аналогов, после окончания срока действия прав на используемый софт и по истечении сроков амортизации существующей техники. Контролировать импортозамещение в части софта будет Минцифры, а в части оборудования — Минпромторг. В банковской сфере процесс должен согласовывать ЦБ (см. “Ъ” от 11 ноября).
В отзыве ГПУ отмечается, что в проекте указа не оценивается возможность исполнения требований субъектами КИИ в установленный срок, а также не раскрывается, кто будет оценивать соблюдение требований.
Кроме того, проект противоречит Конституции (ч. 3 ст. 55), так как в нем предлагается возложить импортозамещение на широкий круг лиц, однако их права и свободы могут быть ограничены только в целях обеспечения обороны страны и безопасности государства исключительно федеральным законом, пишет Лариса Брычева.
Также обязанность по утверждению порядка перехода и требований к ПО и оборудованию на объектах КИИ в проекте предлагается возложить на правительство, тогда как направления госполитики в области безопасности КИИ уполномочен определять президент, подчеркивается в отзыве. В Минцифры отказались от комментариев.
Сроки импортозамещения на объектах КИИ были предметом острой дискуссии. Минцифры предлагало ввести обязательство для КИИ использовать отечественное ПО с 2021 года, а российское оборудование — с 2022 года. Но против этого выступили банки: они требовали отсрочку до 2025–2026 годов, что уже вызвало возмущение ассоциаций отечественных разработчиков. В результате Минцифры пошло на компромисс и предложило ввести требования с начала 2023 года.
38,8 миллиарда рублей
составил российский рынок офисного программного обеспечения по итогам 2020 года (оценки J’son & Partners Consulting).
«Хорошо, что ГПУ раскритиковало документ: чем дольше его не примут, тем лучше»,— считает собеседник “Ъ” в одном из банков. Проект бьет по всем критическим отраслям — от банков до металлургов, отмечает он. «Есть много нерешенных вопросов: что делать, если у банка "самописное" ПО, а если ПО на "аутсорсе"? Срок перехода очень агрессивный. Он возможен, но должен быть плавным, иначе возникнет угроза безопасности»,— говорит собеседник. Дедлайн сроком чуть больше года слишком амбициозен, согласен старший аналитик Райффайзенбанка Сергей Либин: «Вероятно, такие жесткие временные рамки были обозначены, чтобы подстегнуть развитие необходимого ПО».
Сегодня российские производители вполне могут закрыть требования КИИ своими разработками: их качество и уровень поддержки ничем не уступают зарубежным аналогам, уверен директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков. Шанс, что аналоги применяемого объектами КИИ оборудования найдутся в реестрах, есть, но переоборудование их систем — процесс небыстрый, отметил главный архитектор компании «Информзащита» Павел Демидов. Только проектно-изыскательные работы в этом направлении, добавил он, длятся обычно дольше года.