Доброе слово и регулирование

Неумолимо приближается 1 января 2025 года, а с ним и первые дедлайны по претворению в жизнь указов Президента, касающихся запретов на применение иностранного ПО, средств защиты информации и иностранных сервисов обеспечения ИБ

Модератор первой сессии «BIS SUMMIT 2024. Чек-ап: ваша готовность к 2025 году» Наталья Касперская, председатель правления АРПП «Отечественный софт», в своем приветственном слове как бы вскользь упомянула тему ограничения роста цен на отечественный софт, рассчитывая уделить больше времени готовности критических информационных систем (КИИ) к установленным срокам.

Участники дискуссии (слева направо): Наталья Касперская (InfoWatch), Андрей Свинцов (Госдума), Виталий Лютиков (ФСТЭК), Герман Зубарев (Банк России), Евгений Хасин (Минцифры), Илья Массух (Центр компетенций по импортозамещению в сфере ИКТ, ЦКИТ). Фото: BIS SUMMIT

Однако очень быстро выяснилось, что именно эта тема сейчас волнует ИБ-сообщество более всего.

Что касается финансового сектора, то, по словам Германа Зубарева, заместителя председателя Банка России, тема дедлайнов по указам Президента не находится в первых пунктах повестки дня: «У нас отстающих нет». 

Андрей Свинцов (Госдума). Фото: трансляция BIS SUMMIT

Зато выяснилось, что Госдума планирует до конца этого года принять закон, касающийся введения оборотных штрафов за утечку персональных данных из коммерческих организаций. Андрей Свинцов, заместитель председателя комитета Государственной думы по информационной политике, информационным технологиям и связи, уверен в этом.

Разъяснительная работа Банка России

Герман Зубарев в своем выступлении посетовал на то, что в области импортозамещения общественное мнение крайне поляризовано, и это приводит к недопониманию и искажению сути того, чем именно занимается регулятор во исполнение указов Президента, что в них вообще сказано, а также почему такие безумные цены на вендорское ПО? В итоге громче всего слышны голоса либо «всепропальщиков», либо «шапкозакидателей». Поэтому часть выделенного Герману Зубареву времени он потратил на разъяснение позиции Банка России.

Герман Зубарев (Банк России). Фото: трансляция BIS SUMMIT

Герман Зубарев (Банк России). Фото: трансляция BIS SUMMIT

Зампред ЦБ объяснил: «Существует два указа: № 166 от 30.02.2002 и № 250 от 01.05.2002. Оба они в целом касаются импортозамещения, но содержание у них очень разное. Различаются они тем, на кого направлены, что менять и где менять ПО. Указ № 166 распространяется, если обобщать, во-первых, на организации с государственным участием. Во-вторых, на организации, которые меняют ПО на значимых объектах, имеющих КИИ. Обе эти категории должны перестать на своих значимых объектах использовать импортное ПО к 1 января 2025 года. Указ № 250 распространяется на любые организации, где есть КИИ. Под первый Указ в финансовом секторе подпадает 14 организаций, а под второй — практически все поднадзорные Банка России. Кроме того, в Указе № 166 есть еще положения, касающиеся оборудования, но дедлайны по нему установлены к 2030 году».

Во исполнение обоих указов проделана колоссальная работа. Несколько лет назад на совещаниях в ЦБ многие финансовые организации сомневались в реалистичности и достижимости установленных сроков. Сейчас тех, кто считает, что это невозможно, не осталось. А те, кто включился в работу сразу, сейчас — в более выигрышном положении и находятся уже на этапе тестирования, успешно пройдя фазу внедрения. 

Банк России, согласно Федеральному закону, принятому в развитие Указа № 166, получил полномочия по контролю и мониторингу планов перехода организаций на отечественное ПО. Это важно, потому что просто обозначить срок перехода 1 января 2025 года — это полдела. При ограниченных ресурсах необходимо иметь четкое целеполагание, поэтому планы должны быть реальными и достижимыми.

Успеем в срок

«В итоге все поднадзорные финансового регулятора, подпадающие под действие Указа № 166, еще в начале этого года утвердили планы перехода. Учитывая, что у Банка России есть полномочия по контролю, он ежеквартально проводит мониторинг. Если имеются какие-то тревожные сигналы, то тут же происходит выяснение причин, почему так происходит. Поэтому я с достаточным оптимизмом смотрю на январь 2025 года, поскольку все движется в соответствии с намеченными сроками», — заявил Герман Зубарев.

Но необходимо обращать внимание на то, что Указ № 166 распространяется на значимые объекты КИИ, и у некоторых организаций, обладающих ими, возник соблазн их не категорировать, вывести из-под действия Указа. Благодаря налаженному взаимодействию со ФСТЭК всех «уклонистов» удалось выявить. После этого Банк России выпустил документ, где определен примерный перечень значимых объектов КИИ в финансовой сфере, поэтому все организации, которые подпадают под определенные в документе числовые значения, не могут не попасть под действие Указа № 166. В итоге эти «хитрецы сами себе выстрелили в ногу: попали под действие Указа позже, а сроки остались те же самые, что и для всех».

Что касается Указа № 250, то Банк России здесь не является регулятором как таковым и не имеет законодательно прописанных полномочий. Тем не менее благодаря совместным усилиям отраслевого центра компетенций и ЦБ осуществляется помощь участникам рынка в виде информирования о решениях вендоров, лучших практиках и т.д.

Делая вывод по этой части дискуссии, Герман Зубарев отметил: «В основе подобной дисциплины в нашем секторе лежит “культура дисциплинированности”. При этом рассчитывать на добровольность я бы не стал, потому что любые финансовые организации ориентированы на получение прибыли, а дополнительные затраты ее снижают. Регулятор отрасли, получив в отличие от других полномочия по закону, выпустил “нормативку”, и банки знают, что и когда с них будут спрашивать. Когда правила игры прозрачные, исчезают неясность и неопределенность. D итоге “добрым словом и надзором можно добиться больше, чем надзором”».

Что касается ситуации в других секторах экономики, то спикеры на параллельных сессиях были гораздо более пессимистичны категорировать, характерно, например, такое высказывание: «Не думаю, что все исполнят Указ вовремя, но будут стремиться к этому».

Что делать с ценами?

По поводу цен довольно жестко высказался Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ: «В некоторых классах есть избыток решений. Основная проблема — в том, что мы до сих пор не понимаем, какую страну строим: то ли с рыночной экономикой, то ли с государственной, с каким типом регулирования. Например, у Китая 10 лет назад была одна тысяча вендоров СУБД. Сейчас сократили до двух-трех. Вот это позиция!»

Спикер явно намекал на то, что разработчики параллельно разрабатываемых нескольких десятков NGFW файерволов (операционных систем, баз данных) явно преувеличили емкость отечественного рынка и при этом конкурируют на рынке за программистов одной и тоже специализации, что перегревает рынок. Но при этом нужно дать возможность оставшимся развиваться и платить программистам по мировым меркам.

Виталий Лютиков, заместитель директора ФСТЭК, вступил в дискуссию с коллегой и поддержал жесткую позицию ФАС: «По вопросу цен на ПО — они действительно очень высокие. При этом очевидно, что до характеристик западных продуктов наши разработчики не дотягивают, а стоимость продуктов выше. Когда вендор, почувствовав повышенный спрос, тут же увеличивает стоимость, не меняя функционала, у людей возникают вопросы. Вот и у антимонопольной службы этот вопрос тоже возник».

Фото: трансляция BIS SUMMIT

Герман Зубарев попытался примирить оппонентов: «Мы видим вариант переговоров. Собираем на площадке отраслевого комитета вендоров и банки, которые его закупают. И в тяжелых дискуссиях стороны расходятся порой ни с чем. Но часто вендоры идут навстречу, ведь банки — достаточно крупные их клиенты. В целом, прогресса добиться удается, но не по всем вещам».

В самом конце саммита по этому вопросу высказался Анатолий Аксаков, депутат Госдумы, председатель комитета по финансовому рынку. Главный вывод из его выступления заключается в том, что на уровне государственных структур, которые могут влиять на принятие решений, этот вопрос поднят. 

Данные о правообладателе фото и видеоматериалов взяты с сайта «Банковское обозрение», подробнее в Правилах сервиса
Анализ
×
Наталья Ивановна Касперская
Последняя должность: Президент (ГК InfoWatch)
10
Андрей Николаевич Свинцов
Последняя должность: Депутат, заместитель председателя (Комитет ГД ФС РФ по информационной политике, информационным технологиям и связи)
10
Илья Иссович Массух
Последняя должность: Директор (АВТОНОМНАЯ НЕКОММЕРЧЕСКАЯ ОРГАНИЗАЦИЯ "ЦЕНТР КОМПЕТЕНЦИЙ ПО ИМПОРТОЗАМЕЩЕНИЮ В СФЕРЕ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ")
7
Анатолий Геннадьевич Аксаков
Последняя должность: Председатель (Комитет Государственной Думы Федерального Собрания Российской Федерации по финансовому рынку)
42
Виталий Сергеевич Лютиков
Последняя должность: Заместитель директора (ФСТЭК России)
3