ФСБ России разработала проект приказа, которым определяется список пунктов, распространение информации по которым нежелательно (запрещено). "Но не описано, что будет происходить, если государственные органы иностранного государства, международная или иностранная организация, или иностранные граждане получили доступ к этой информации, - отметил независимый эксперт по рынкам ИТ и телеком Вадим Плесский. - По всей видимости, вслед за приказом должен последовать акт, определяющие эти действия. И уже из него мы узнаем, как РФ собирается защищать эти сведения от получения субъектами иностранных государств, и какие меры применять для предотвращения распространения этих сведений".
Пунктом 16 перечня значатся персональные данные военнослужащих (сотрудников, работников) войск (сил) и членов их семей, в том числе адреса проживания, посещаемые образовательные и медицинские организации, используемые транспортные средства и личные средства связи, сведения о соединениях и переписке с использованием средств связи. Этот пункт, по мнению Вадима Плесского, связан с недавними событиями с ФБК, когда были обнародованы данные сотрудников компетентных органов РФ. "Вообще говоря, в современных условиях, когда информация может быть добыта и практически мгновенно опубликована, это вполне логичный и разумный шаг. Однако в приказе не указываются меры, которые будут применяться в случае публикации таких данных (например, персональные данных военнослужащих и членов их семей). Означает ли этот приказ введение автоматической цензуры (и блокировки провайдером, например по списку Роскомнадзора), или в случае публикации таких данных в социальных сетях или на веб-сайтах, расположенных на территории РФ, будет инициировано судебное разбирательство, и правомочность публикации определит уже суд? На эти вопросы ответов нет", - комментирует он.
Пункт 17: "Сведения о средствах и сетях связи, используемых в войсках (силах), в том числе сведения о номерах служебных телефонов, за исключением сведений, содержащихся в открытом доступе. "Что считается открытым доступом? Публикация на веб-сайте - это размещение в открытом доступе? Публикация на зарубежном ресурсе - это открытый доступ, или нет? Собирается ли РФ как-либо регулировать публикации таких данных на зарубежных ресурсах, если да - то как, и на основании чего?", - задается вопросами Вадим Плесский.
В пункте 29 перечня сказано: "Сведения о функционировании центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, осуществляющих свою деятельность в рамках оборонно-промышленного комплекса, а также о компьютерных инцидентах в информационных системах (сетях) предприятий оборонно-промышленного комплекса". По мнению эксперта целью этого пункта является сокрытие информации об инцидентах в информационных системах (сетях) предприятий оборонно-промышленного комплекса. "Это выглядит логично, - полагает он. - Касательно вопроса об участи иностранных компаний в гостендерах, имеющих отношение к информационной безопасности - они в таких тендерах участвовать вообще не должны. Из тендерного процесса эти компании будут устранены. Никакие данные из данного приказа им быть предоставлены не могут, и не будут предоставлены. Однако любопытно будет взглянуть на госкомпании, которые вынуждены будут отказаться от оборудования Cisco, Juniper, Palo Alto, Fortinet и т.п. Для ряда продуктов этих компаний уже есть российские аналоги, но далеко не для всех".
Пунктом 30 "Сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса" де-юре закрепляется практика, которая уже есть", - рассказывает Вадим Плесский. "Эти сведения будут предоставляться только российским компаниям.
"Для всех игроков на рынке будет только лучше. Зарубежным компаниям, работающим на рынке информационной безопасности (ИБ), возможно придется закрыть офисы в России", - предполагает он.
Пункт 31 звучит как "Сведения о составе и организации работы государственных информационных систем, виде, количестве и наименованиях модулей, местах расположения хранилищ данных и каналов связи, исходных текстах и дистрибутивах программного обеспечения, применяемого в работе государственных информационных систем (ГИС), технической документации (техническом задании, моделях угроз и нарушителя) на создание государственных информационных систем и систем безопасности, в том числе для систем, обрабатывающих служебную информацию ограниченного распространения, действующих паролях, кодах систем доступа к служебной информации ограниченного распространения, настройках средств защиты информации".
"Если речь идет о всех государственных информационных системах (ГИС), а не только ГИС оборонных предприятий, - рассуждает эксперт, - то это приведет к существенному переделу рынка заказной разработки и ГИС. Не секрет, что сейчас в различных ГИСах используются модули иностранных компаний. Их необходимо будет заменить. В новых ГИСах модули будут только российские. В случае, если таковые готовые модули в России отсутствуют, - их необходимо будет разработать. На разработку потребуются время и деньги. И квалифицированные кадры. С учетом нехватки кадров в ИТ отрасли, реализация таковых проектов может существенно затянуться (на годы). Бенефиты от такого сценария получат российские компании, и это положительно повлияет на отрасль. Наращивание собственных компетенций - это хорошо".
Член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Дмитрий Липин отметил, что сведения о техническом и программном оснащении объектов критической информационной инфраструктуры, в первую очередь государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, по очевидным причинам должны быть защищены, поскольку могут использоваться в целях прямо противоположных интересам России.
"Проектируемые положения приказа полностью основаны на требованиях действующего законодательства. Это относится и к части, регулирующей вопросы, связанные с государственными закупками. Так, например Федеральный закон "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" предусматривает закрытые способы определения поставщиков в конкурсах, проводимых федеральными органами исполнительной власти, уполномоченными в сфере обороны и безопасности, а также подведомственными ими учреждениями. Кроме того, этот же закон содержит массу ограничений на участие иностранных компаний в конкурсах соответствующей категории, то есть в связи с принятием приказа ФСБ России для иностранных компаний и компаний с иностранным участием ничего принципиально не изменится. Умышленная же передача сведений, которые могу быть использованы иностранными государствами или организациями против безопасности РФ (в том числе не содержащих государственной тайны), может быть квалифицирована как уголовно наказуемое деяние, в том числе как государственная измена, за которую ст. 275 УК РФ предусматривает наказание вплоть до 20 лет лишения свободы", - прокомментировал Дмитрий Липин.
Первый вице-президент "Опоры России" Павел Сигал напомнил, что пока перечень сведений остается лишь в стадии проекта, в него могут быть внесены изменения. "Например, в части ужесточения или смягчения наказания для работы таких компаний. Вероятно, они будут платить крупный штраф, либо, в самых серьезных случаях, их работа будет запрещена на территории РФ.
Сам документ призван снизить вероятность утечек данных через зарубежные компании. Но нужно понимать, что практически со всеми секретными сведениями в нашей стране работают именно проверенные российские компании. В такой ситуации остается крайне низкая вероятность, что иностранный бизнес получит, например, сведения об оценке и прогнозах развития военно-политической, стратегической обстановки или данные о планировании и осуществлении мероприятий по гражданской и территориальной обороне. Поэтому для зарубежного бизнеса в основе своей ничего не поменяется – компании продолжат принимать участие в тендерах", - рассказал Павел Сигал.
Вадим Плесский считает, что в результате принятия такого приказа (если он будет принят) в компаниях, работающих с указанными заказчиками (осуществляющими военную, военно-техническую деятельность в РФ) возникнет еще больший кадровый голод.
"Очевидно, что ограничения, под которые попадают компании-контракторы (поставщики ПО, железа, программно-аппаратных комплексов), будут распространяться и на сотрудников этих компаний. Как это будет регулироваться? В приказе не уточняется. По трудовому кодексу РФ сотрудник может уволиться в любой момент, предупредив работодателя о предстоящем увольнении за две недели. Сегодня сотрудник работает в компании-контракторе по подобным заказам. А через две недели он уже сотрудник (условно) Intel или Microsoft. Или предполагается "отбирать паспорт", запрещать выезд за границу, как это делали в закрытых НИИ во времена СССР? Но дело в том, что с появлением возможности работать удаленно уже не надо уезжать за границу, чтобы работать на зарубежную компанию. Это можно делать из дома, или находясь на пляже или на болоте в Тверской области. Таким образом, предлагаемые в приказе меры регулирования создают больше вопросов, чем ответов на сегодня. "Возврат в СССР" невозможен при современном уровне развития технологий. А попытки введения нового "крепостного права" приведут к массовому оттоку специалистов за границу", - подвел итог эксперт.
Юлия Мельникова