Все думал, писать или не писать про реестр якобы отечественного софта в контексте информационной безопасности. Но тут, после публикации новости о внесении в реестр около сотни российских продуктов, все-таки решил выплеснуть ушат эмоций на околореестровую тему. Собственно, даже это будут не эмоции, а скорее мысли вслух по поводу конкретно этого реестра и способа его ведения. Сразу скажу, что я не против развития отечественной ИТ/ИБ-индустрии. Только вот делается это как-то несуразно и вот несколько тому подтверждений.
Итак, данный реестр создается на основании Постановления Правительства №1236 от 16 ноября 2015 года и поэтому я буду полностью ориентировать именно на его текст в своих размышлениях. Во-первых, где в этом ПП-1236 и, как следствие, в реестре ПО не для ЭВМ? И вообще, почему все так привязаны к этой дурацкой формулировке "программное обеспечение для ЭВМ и баз данных", кочующее из закона в закон? То, что эта фраза появилась в старом законе "Об авторском праве и смежных правах", не делает ее истиной в последней инстанции. Просто авторы этого дремучего закона от 93-го года на момент его написания и не знали, что программа может запускаться не только на ЭВМ. А сейчас? Возьмем уже всем набивший оскомину Интернет вещей. Если рассматривать ПО для работы какого-нибудь датчика IoT, то считать ли его программой для ЭВМ? И тоже самое сетевое оборудование? А BIOS/UEFI? Собственно к фразе "происходящего из иностранных государств" тоже есть немало претензий. Linux у нас откуда происходит? Ну да ладно, пойдем дальше.
Реестр должен содержать код (коды) продукции в соответствие с ОКВЭД. Тыц-тыц... С ОКВЭД в ПП-1236 вообще фееричная история. Дело в том, что в России принято... триклассификатора ОКВЭДа. Один, ОКВЭД ОК 029-2001 был принят в 6-го ноября 2001 года. Второй - ОКВЭД ОК 029-2007 от 22.11.2007. Третий - ОКВЭД ОК 029-2014, принятый 31.01.2014. Так вот у нас сейчас действует не финальная редакция ОКВЭД, а первые две (тоже странная конструкция). Действуют они до 1-го января 2017-го года, и в них нет кодов для области информационной безопасности. Есть вот такие:
Правда, вопрос о том, какой из трех ОКВЭДов использовать при заполнении реестра, так и остается открытым - все три действительны, но последний еще не вступил в силу. Если подаваться по будущему классификатору (а именно его коды приведены в приложении к методичке Минкомсвязи по подаче заявления на включение ПО в реестр), то возникает коллизия - согласно приказа Росстандарта от 10.11.2015 №1745ст он вступает в силу только с 1-го января 2017 года. А если подаваться по действующему классификатору, то с 1-го января придется вновь подавать документы в связи с изменением сведений в первично поданных документах.
В отношении Лаборатории Касперского, Parallels, ABBYY, Яндекса и ряда других компаний с мировым именем часто возникают инсинуации относительно того, что эти компании зарегистрированы не в России и права собственности принадлежат не российским юридическим лицам. Да, возможно это так, но... в ПП-1326 говорится о том, что правообладателем ПО может быть и физическое лицо, а к нему предъявляется только одно требование - быть гражданином РФ. Но и тут есть подводный камень; даже два. Во-первых, ни слова не говорится о запрете двойного или даже тройного гражданства (на предварительных обсуждениях эта тема всплывала, но ее как-то замылили), что как бы намекает... А, во-вторых, мне интересно посмотреть на документы, в которых правообладателем является конкретное физическое лицо, а не компания.
Но мы идем дальше. Следующим пунктом является требование наличия страницы в Интернете, где была бы представлена пользовательская документация. Возьмем, к примеру, Wallarm, который может, вдруг, захотеть продаваться в госорганы в качестве альтернативы Application Firewall от Positive Technologies. И попробуем мы зайти на страницу www.wallarm.ru и... Перекинут нас на американский сайт компании-разработчика, которая не имеет своего российского Интернет-представительства. Тут на днях ко мне обратились организаторы одного мероприятия, желающие пригласить Wallarm для проведения мастер-класса. Просили они у меня контактов Wallarm, так как не могли найти контактов этой компании; российских контактов, я имею ввиду. Разрешено ли иметь англоязычную страницу в Интернет и такую же англоязычную документацию? Формально да, а вот если здраво рассуждать (в контексте национальной идеи, импортозамещения и т.п.), то получается как-то некузяво. Дальше по тексту говорится, что представленная информация может быть и на иностранном языке, но с заверенными переводами на русский язык.
И вот мы подступаем к 5-му (да-да, только к 5-му) пункту ПП-1236, в котором говорится о требованиях, которым должно удовлетворять ПО, включаемое в реестр. Одним из таких требований является свободная реализации ПО на всей территории РФ. С точки зрения авторов нормативного акта, как я их понимаю, главным был фрагмент "на всей территории РФ", чтобы отсечь всяких супостатов, не желающих торговать на территории Крым (про российские банки и платежные системы, не желающие работать в Крыму, я скромно умолчу). Но... мы же люди подкованные и не должны выдергивать фразу из контекста. Возьмем и вторую часть этого абзаца и увидим, что в нем говорится о "свободной реализации". А согласно действующему законодательству в России нет свободной реализации средств шифрования - существует вполне конкретное ПП-330, которое устанавливает условия, при которых организация, имеет право получить лицензию ФСБ, после чего только получает право реализовывать (распространять) средства шифрования. А при подаче документов на лицензию, еще необходимо указать адреса, по которым будет вестись лицензируемый вид деятельности. Интересно... Получается, что российские средства шифрования не могут попасть в данный реестр.
Дальше больше. В пункте 5д говорится о том, что если ПО реализует функции защиты конфиденциальной информации, то у такого ПО должен быть сертификат соответствия. В этом пункте вообще скрывается целый букет междустрочий. Во-первых, неявно, но речь идет о сертификате ФСТЭК, который подтверждает как раз соответствие требованиям безопасности конфиденциальной информации. С одной стороны, где ФСБ? Но мы уже увидели выше, что на средства шифрования по ПП-1236 вообще не могут быть занесены в реестр. И хотя это явный косяк разработчиков, незнакомых с законодательством по ИБ, формально никакого нарушения нет. С другой стороны, где говорится о том, что функция защиты конфиденциальной информации является основной? Без этого, под данное требование попадают всепрограммные продукты. Ведь каждый из них реализуют ту или иную функцию по защите, например, идентификацию и аутентификацию администратора ПО. А может быть и другие функции. Но сейчас в реестре внесено чуть менее 10% ПО, имеющего сертификат ФСТЭК. Опять нарушение установленных требований. Кстати, сейчас в стадии подачи в реестр находится несколько средств защиты информации, которые... тыц-тыц еще не имеют сертификата ФСТЭК и только ждут его получения. Будет забавно если их внесут в реестр в нарушение установленных правил. Не то, чтобы я сомневаюсь, что их внесут, но лишнее подтверждение, что документ писали люди, далекие от ИБ, и что вся эта затея с импортозамещением - всего лишь профанация, все-таки будет налицо. Кстати, с сертификацией ФСТЭК есть и еще один нюанс. В ФСТЭК подается на сертификацию конкретная версия ПО, а не просто его наименование. А в реестре про этот момент ни слова. Поэтому не исключаю ситуацию, что через полгода-год возникнет ситуация, когда в реестре будет ПО с уже недействующим сертификатом соответствия или с сертификатом, выданным на предыдущую версию отечественного ПО.
Следующее требование. Если правообладателем является российская коммерческая или некоммерческая компания, то у нее должна быть лицензия ФСТЭК на разработку средств защиты информации. Тут на поверхности никаких косяков нет. Но это на поверхности. Этот пункт, особенно в контексте, грядущего изменения требований к лицензиатам, ставит крест на попытках отечественных стартапов попасть в реестр. Без системы менеджмента качества по ISO 9000 и внедренного (и подтвержденного) SDLC получить лицензию будет нельзя, а без лицензии нельзя попасть в реестр. Внедрять ISO 9000 и SDLC стартапу не по карману, так как у них нет еще достаточного количества клиентов и денег на развитие такой темы. А получить новых клиентов они не могут, так как в госорганы (более половины российского рынка ИБ) им путь закрыт. Замкнутый круг. То есть все красивые слова о развитии инноваций и стартапов в России опять оказываются пустым звуком. Стартапы так и будут ориентироваться на западный рынок, а российский будет поделен среди десятка ИБ-игроков, которые и сейчас чувствуют себя неплохо, не особо и нуждаясь в каких-либо преференциях.
Но с требованием лицензии ФСТЭК (кстати, опять забыта лицензия ФСБ на разработку средств шифрования, которым, видимо путь в реестр закрыт сознательно) связан и еще один момент, на который некоторые специалисты не обращают внимание, возможно сознательно. Представьте, что права на "отечественное" ПО зарегистрированы не на российское юрлицо, а на физлицо (как это иногда утверждают представители имеющих российские корни компаний, которые уже давно ушли на западные рынки). Тогда, по тому же ПП-1236, у этого физлица должна быть лицензия ФСТЭК. А много ли таких физлиц вы видели? Я - ни одного. Фактически, получается, что гражданин России не может быть правообладателем ПО, выполняющего функции защиты информации. А если ПО зарегистрировано на него, то... оно формально не может быть внесено в реестр (у физлиц же нет лицензии ФСТЭК).
Дальше ПП-1236 описывает процедуру подачи заявления на включение в реестр, из которой я бы хотел отметить только один момент - заявление должно быть подписано усиленной квалифицированной электронной подписью. А получение этой подписи для недавно образованного стартапа та еще "Одиссея". Очередной камень преткновения на пути молодых предпринимателей на отечественный рынок ИБ.
Еще один нюанс мне бы хотелось отметить применительно к классификатору ПО, который приведен в приложении к методичке Минкомсвязи по заполнению заявления на включение ПО в реестр. В нем по нашей теме приводится (впрямую) всего два типа ПО - "средства обеспечения ИБ" и "средства анализа исходного кода на закладки и уязвимости". Вот почему именно такое деление? Почему сканеры исходного кода вынесены в отдельную категорию, а сканеры уязвимостей нет? Тут у меня, конечно, есть подозрения, учитывая активное участие некоторых коллег в формировании всего пакета нормативных документов, но пусть эти подозрения останутся со мной.
В заключение у меня остается два вопроса, которые я задам вслух, но ответы на которые я жду увидеть в самом ближайшем будущем:
Итак, данный реестр создается на основании Постановления Правительства №1236 от 16 ноября 2015 года и поэтому я буду полностью ориентировать именно на его текст в своих размышлениях. Во-первых, где в этом ПП-1236 и, как следствие, в реестре ПО не для ЭВМ? И вообще, почему все так привязаны к этой дурацкой формулировке "программное обеспечение для ЭВМ и баз данных", кочующее из закона в закон? То, что эта фраза появилась в старом законе "Об авторском праве и смежных правах", не делает ее истиной в последней инстанции. Просто авторы этого дремучего закона от 93-го года на момент его написания и не знали, что программа может запускаться не только на ЭВМ. А сейчас? Возьмем уже всем набивший оскомину Интернет вещей. Если рассматривать ПО для работы какого-нибудь датчика IoT, то считать ли его программой для ЭВМ? И тоже самое сетевое оборудование? А BIOS/UEFI? Собственно к фразе "происходящего из иностранных государств" тоже есть немало претензий. Linux у нас откуда происходит? Ну да ладно, пойдем дальше.
Реестр должен содержать код (коды) продукции в соответствие с ОКВЭД. Тыц-тыц... С ОКВЭД в ПП-1236 вообще фееричная история. Дело в том, что в России принято... триклассификатора ОКВЭДа. Один, ОКВЭД ОК 029-2001 был принят в 6-го ноября 2001 года. Второй - ОКВЭД ОК 029-2007 от 22.11.2007. Третий - ОКВЭД ОК 029-2014, принятый 31.01.2014. Так вот у нас сейчас действует не финальная редакция ОКВЭД, а первые две (тоже странная конструкция). Действуют они до 1-го января 2017-го года, и в них нет кодов для области информационной безопасности. Есть вот такие:
- 72.10 Консультирование по аппаратным средствам вычислительной техники
- 72.20 Разработка программного обеспечения и консультирование в этой области
- 72.30 Обработка данных
- 72.40 Деятельность по созданию и использованию баз данных и информационных ресурсов
- 72.50 Техническое обслуживание и ремонт офисных машин и вычислительной техники
- 72.60 Прочая деятельность, связанная с использованием вычислительной техники и информационных технологий
- 74.6 Проведение расследований и обеспечение безопасности (правда, физической и антитеррористической)
- 75.24 Деятельность по обеспечению общественного порядка и безопасности (сюда, наряду с деятельностью ФСБ, СВР, МВД, ФНС и других силовиков, попало и обеспечение безопасности средств связи и информации, но не информационных систем, и не сетей связи, и не СВТ).
- Издание прочих программных продуктов (программных продуктов общего пользования), включая перевод или адаптацию программных продуктов общего пользования для конкретного рынка за собственный счет: операционные системы, приложения для бизнеса и прочие приложения)
- 18.20 - воспроизведение программного обеспечения
- 47.41 - розничная торговля готовым программным обеспечением
- 62.01 - производство программного обеспечения, не связанного с изданием, включая перевод или адаптацию программного обеспечения общего пользования, для конкретных приложений, за вознаграждение или на договорной основе
- 63.11 - интерактивное предоставление программного обеспечения (предоставление прикладного хостинга, предоставление прикладных программ)
- 46.51 - деятельность консультативная и работы в области компьютерных технологий продажу аппаратных средств вычислительной техники или программного обеспечения
- 33.20 - установка универсальных ЭВМ и аналоговых компьютеров
- 62.09 - установка (настройка) персональных компьютеров
- 80 - Деятельность по обеспечению безопасности и проведению расследований
- 26.30.11.160 - программное обеспечение, обеспечивающее выполнение установленных действий при проведении оперативно-розыскных мероприятий
Правда, вопрос о том, какой из трех ОКВЭДов использовать при заполнении реестра, так и остается открытым - все три действительны, но последний еще не вступил в силу. Если подаваться по будущему классификатору (а именно его коды приведены в приложении к методичке Минкомсвязи по подаче заявления на включение ПО в реестр), то возникает коллизия - согласно приказа Росстандарта от 10.11.2015 №1745ст он вступает в силу только с 1-го января 2017 года. А если подаваться по действующему классификатору, то с 1-го января придется вновь подавать документы в связи с изменением сведений в первично поданных документах.
В отношении Лаборатории Касперского, Parallels, ABBYY, Яндекса и ряда других компаний с мировым именем часто возникают инсинуации относительно того, что эти компании зарегистрированы не в России и права собственности принадлежат не российским юридическим лицам. Да, возможно это так, но... в ПП-1326 говорится о том, что правообладателем ПО может быть и физическое лицо, а к нему предъявляется только одно требование - быть гражданином РФ. Но и тут есть подводный камень; даже два. Во-первых, ни слова не говорится о запрете двойного или даже тройного гражданства (на предварительных обсуждениях эта тема всплывала, но ее как-то замылили), что как бы намекает... А, во-вторых, мне интересно посмотреть на документы, в которых правообладателем является конкретное физическое лицо, а не компания.
Но мы идем дальше. Следующим пунктом является требование наличия страницы в Интернете, где была бы представлена пользовательская документация. Возьмем, к примеру, Wallarm, который может, вдруг, захотеть продаваться в госорганы в качестве альтернативы Application Firewall от Positive Technologies. И попробуем мы зайти на страницу www.wallarm.ru и... Перекинут нас на американский сайт компании-разработчика, которая не имеет своего российского Интернет-представительства. Тут на днях ко мне обратились организаторы одного мероприятия, желающие пригласить Wallarm для проведения мастер-класса. Просили они у меня контактов Wallarm, так как не могли найти контактов этой компании; российских контактов, я имею ввиду. Разрешено ли иметь англоязычную страницу в Интернет и такую же англоязычную документацию? Формально да, а вот если здраво рассуждать (в контексте национальной идеи, импортозамещения и т.п.), то получается как-то некузяво. Дальше по тексту говорится, что представленная информация может быть и на иностранном языке, но с заверенными переводами на русский язык.
И вот мы подступаем к 5-му (да-да, только к 5-му) пункту ПП-1236, в котором говорится о требованиях, которым должно удовлетворять ПО, включаемое в реестр. Одним из таких требований является свободная реализации ПО на всей территории РФ. С точки зрения авторов нормативного акта, как я их понимаю, главным был фрагмент "на всей территории РФ", чтобы отсечь всяких супостатов, не желающих торговать на территории Крым (про российские банки и платежные системы, не желающие работать в Крыму, я скромно умолчу). Но... мы же люди подкованные и не должны выдергивать фразу из контекста. Возьмем и вторую часть этого абзаца и увидим, что в нем говорится о "свободной реализации". А согласно действующему законодательству в России нет свободной реализации средств шифрования - существует вполне конкретное ПП-330, которое устанавливает условия, при которых организация, имеет право получить лицензию ФСБ, после чего только получает право реализовывать (распространять) средства шифрования. А при подаче документов на лицензию, еще необходимо указать адреса, по которым будет вестись лицензируемый вид деятельности. Интересно... Получается, что российские средства шифрования не могут попасть в данный реестр.
Дальше больше. В пункте 5д говорится о том, что если ПО реализует функции защиты конфиденциальной информации, то у такого ПО должен быть сертификат соответствия. В этом пункте вообще скрывается целый букет междустрочий. Во-первых, неявно, но речь идет о сертификате ФСТЭК, который подтверждает как раз соответствие требованиям безопасности конфиденциальной информации. С одной стороны, где ФСБ? Но мы уже увидели выше, что на средства шифрования по ПП-1236 вообще не могут быть занесены в реестр. И хотя это явный косяк разработчиков, незнакомых с законодательством по ИБ, формально никакого нарушения нет. С другой стороны, где говорится о том, что функция защиты конфиденциальной информации является основной? Без этого, под данное требование попадают всепрограммные продукты. Ведь каждый из них реализуют ту или иную функцию по защите, например, идентификацию и аутентификацию администратора ПО. А может быть и другие функции. Но сейчас в реестре внесено чуть менее 10% ПО, имеющего сертификат ФСТЭК. Опять нарушение установленных требований. Кстати, сейчас в стадии подачи в реестр находится несколько средств защиты информации, которые... тыц-тыц еще не имеют сертификата ФСТЭК и только ждут его получения. Будет забавно если их внесут в реестр в нарушение установленных правил. Не то, чтобы я сомневаюсь, что их внесут, но лишнее подтверждение, что документ писали люди, далекие от ИБ, и что вся эта затея с импортозамещением - всего лишь профанация, все-таки будет налицо. Кстати, с сертификацией ФСТЭК есть и еще один нюанс. В ФСТЭК подается на сертификацию конкретная версия ПО, а не просто его наименование. А в реестре про этот момент ни слова. Поэтому не исключаю ситуацию, что через полгода-год возникнет ситуация, когда в реестре будет ПО с уже недействующим сертификатом соответствия или с сертификатом, выданным на предыдущую версию отечественного ПО.
Следующее требование. Если правообладателем является российская коммерческая или некоммерческая компания, то у нее должна быть лицензия ФСТЭК на разработку средств защиты информации. Тут на поверхности никаких косяков нет. Но это на поверхности. Этот пункт, особенно в контексте, грядущего изменения требований к лицензиатам, ставит крест на попытках отечественных стартапов попасть в реестр. Без системы менеджмента качества по ISO 9000 и внедренного (и подтвержденного) SDLC получить лицензию будет нельзя, а без лицензии нельзя попасть в реестр. Внедрять ISO 9000 и SDLC стартапу не по карману, так как у них нет еще достаточного количества клиентов и денег на развитие такой темы. А получить новых клиентов они не могут, так как в госорганы (более половины российского рынка ИБ) им путь закрыт. Замкнутый круг. То есть все красивые слова о развитии инноваций и стартапов в России опять оказываются пустым звуком. Стартапы так и будут ориентироваться на западный рынок, а российский будет поделен среди десятка ИБ-игроков, которые и сейчас чувствуют себя неплохо, не особо и нуждаясь в каких-либо преференциях.
Но с требованием лицензии ФСТЭК (кстати, опять забыта лицензия ФСБ на разработку средств шифрования, которым, видимо путь в реестр закрыт сознательно) связан и еще один момент, на который некоторые специалисты не обращают внимание, возможно сознательно. Представьте, что права на "отечественное" ПО зарегистрированы не на российское юрлицо, а на физлицо (как это иногда утверждают представители имеющих российские корни компаний, которые уже давно ушли на западные рынки). Тогда, по тому же ПП-1236, у этого физлица должна быть лицензия ФСТЭК. А много ли таких физлиц вы видели? Я - ни одного. Фактически, получается, что гражданин России не может быть правообладателем ПО, выполняющего функции защиты информации. А если ПО зарегистрировано на него, то... оно формально не может быть внесено в реестр (у физлиц же нет лицензии ФСТЭК).
Дальше ПП-1236 описывает процедуру подачи заявления на включение в реестр, из которой я бы хотел отметить только один момент - заявление должно быть подписано усиленной квалифицированной электронной подписью. А получение этой подписи для недавно образованного стартапа та еще "Одиссея". Очередной камень преткновения на пути молодых предпринимателей на отечественный рынок ИБ.
Еще один нюанс мне бы хотелось отметить применительно к классификатору ПО, который приведен в приложении к методичке Минкомсвязи по заполнению заявления на включение ПО в реестр. В нем по нашей теме приводится (впрямую) всего два типа ПО - "средства обеспечения ИБ" и "средства анализа исходного кода на закладки и уязвимости". Вот почему именно такое деление? Почему сканеры исходного кода вынесены в отдельную категорию, а сканеры уязвимостей нет? Тут у меня, конечно, есть подозрения, учитывая активное участие некоторых коллег в формировании всего пакета нормативных документов, но пусть эти подозрения останутся со мной.
В заключение у меня остается два вопроса, которые я задам вслух, но ответы на которые я жду увидеть в самом ближайшем будущем:
- Как быть с облачными сервисами, например, с анти-DDoS? С одной стороны в классификаторе ПО есть такой пункт как "средства обеспечения облачных и распределенных вычислений", а с другой, видно, что реестр заточен именно на классическое понимание софта, как отчуждаемого на носителе или получаемого по каналам связи экземпляра. Да и с сертификацией сервисов ИБ по документам ФСТЭК не все так просто. Тут скорее подходит аттестация, но про нее в ПП-1236 ни слова.
- Зарегистрируют ли как отечественное ПО антивирус от словацкой компании ESET?