Запрет иностранного в КИИ

Сводная Таблица запретов иностранного ПО и оборудования - в конце поста.

Такой ставший привычным за долгие годы использования термин как “импортозамещение” в марте прошлого года пережил эдакий ренесанс. Скриншот динамики числа показов сервиса Яндекса “Подбор слов” демонстрирует это весьма наглядно.

История показов по фразе «импортозамещение»

Без отдельных исследований (таковых пока не встречал) однозначно назвать все причины этого и степень “вклада” каждой из них затруднительно, но предположить вполне можно. Ниже - вероятный ТОП-3 причин без ранжировки по значимости:

• Рост рисков использования нероссийского;
• Банальная недоступность ставшего столь привычным иностранного;
• Законодательные ограничения, вводимые нормативно-правовыми актами (НПА).

Вот про последнюю в списке (но не по значимости) причину сегодня и хотелось бы поговорить.

Пожалуй, самыми “древними” из ныне действующих запретов являются те, что установлены Постановлением Правительства РФ №1236 от 16.11.2015 «Об установлении запрета на допуск ПО, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».

Данный НПА неоднократно менялся и на сегодня запрещает любое иностранное ПО (за исключением ПО из реестров российского или евразийского программного обеспечения) для обеспечения государственных и муниципальных нужд, впрочем, с такими исключениями, которые при желании можно использовать для обоснования почти чего угодно:

…за исключением следующих случаев:
[…]
б) программное обеспечение, сведения о котором включены в реестр российского программного обеспечения и (или) реестр евразийского программного обеспечения и которое соответствует тому же классу программного обеспечения, что и программное обеспечение, планируемое к закупке, по своим функциональным, техническим и (или) эксплуатационным характеристикам не соответствует установленным заказчиком требованиям к планируемому к закупке программному обеспечению.

Простор для манипуляций колоссальный…

Зато ещё в конце 2017 года была принята поправка (статья 2(1)), расширяющая термин “ПО” в том числе на связанные поставки оборудования, техническое обслуживание и соответствующие услуги и работы:

• программы вне зависимости от носителей, а также услуги облачных сервисов;
• поставки и техобслуживание ПК и подобной техники, на которые необходимо установить ПО;
• разработки, модификации, модернизации, сопровождения, техподдержки, обновления ПО, если заказчик получит права использовать ПО или расширится ранее предоставленный объем прав.

Не самое “красивое” решение с точки зрения русского языка, но уж какое есть.

Кстати, Постановлением Правительства РФ №2461 от 28.12.2022 «О внесении изменений в постановление Правительства РФ от 16 ноября 2015 г. № 1236 и признании утратившими силу отдельных положений некоторых актов Правительства РФ» в конце прошлого года в единый реестр российских программ и баз данных было решено включить и отечественные программно-аппаратные комплексы (ПАК) с предоставлением их разработчикам и производителям возможности претендовать на нулевую ставку налога на прибыль и пониженные тарифы страховых взносов.

Так что “границы” между ПО и ПАК в области действия Постановления Правительства РФ №1236 от 16.11.2015 всё больше размываются, хотя при этом ограничения для иностранного и стимулирование закупок отечественного именно оборудования (радиоэлектронной продукции) вообще-то ещё с 2019 года были введены отдельным нормативно-правовым актом.

Соответствующее Постановлением Правительства РФ №878 от 10.07.2019 «О мерах стимулирования производства радиоэлектронной продукции на территории РФ при осуществлении закупок […] для обеспечения государственных и муниципальных нужд…» установило дополнительные запреты на самое различное иностранное оборудование согласно Перечня, который сейчас насчитывает более 150 позиций, среди которых:

• Платы:
  • печатные смонтированные;
  • звуковые, видеоплаты, сетевые и аналогичные платы для машин автоматической обработки информации;
• Компьютеры портативные массой не более 10 кг, такие как ноутбуки, планшетные компьютеры, карманные компьютеры, в том числе совмещающие функции мобильного телефонного аппарата, электронные записные книжки и аналогичная компьютерная техника;
• Терминалы кассовые, банкоматы и аналогичное оборудование, подключаемое к компьютеру или сети передачи данных;
• Машины вычислительные электронные цифровые:
  • содержащие в одном корпусе центральный процессор и устройство ввода и вывода, объединенные или нет для автоматической обработки данных;
  • поставляемые в виде систем для автоматической обработки данных;
  • прочие, содержащие или не содержащие в одном корпусе одно или два из следующих устройств для автоматической обработки данных: запоминающие устройства, устройства ввода, устройства вывода;
• Устройства ввода или вывода, содержащие или не содержащие в одном корпусе запоминающие устройства;
• Мониторы и проекторы, преимущественно используемые в системах автоматической обработки данных;
• Устройства периферийные с двумя или более функциями: печать данных, копирование, сканирование, прием и передача факсимильных сообщений;
• Устройства запоминающие и прочие устройства хранения данных;
• Блоки, части и принадлежности вычислительных машин;
• Приборы и аппаратура для телекоммуникаций;
• Носители данных:
  • оптические без записи;
  • прочие, включая матрицы и основы для производства дисков;
• Карты магнитные;
• Кабели волоконно-оптические.

Корректнее, конечно, будет сказать, что Постановление устанавливает не совсем запрет, а предпочтительность отечественному - если подана 1 (или более) удовлетворяющая требованиям заказчика заявка о поставке радиоэлектронной продукции, страной происхождения которой являются только государства - члены Евразийского экономического союза, то все остальные заявки заказчик обязан отклонить.

Исключения, когда ограничение не применяется, конечно, тоже были добавлены, причём они сейчас после неоднократно внесённых поправок так сформулированы, что без вдумчивого чтения с карандашом с первого раза и не разобрать. Впрочем, сложность с ростом числа поставок отечественного оборудования сейчас скорее в недостаточности предложения как такового, а не в каком-либо умышленном желании заказчиков обойти запреты.

Изучить соответствующие реестры и самостоятельно определить доступность требуемого отчественного можно по ссылкам:

• Единый реестр российской радиоэлектронной продукции;
• Реестр евразийских промышленных товаров.

Закрывая тему приоритетов отечественного над иностранным надо обязательно упомянуть:

• Постановление Правительства РФ №925 от 16.09.2016 «О приоритете товаров российского происхождения, работ, услуг, выполняемых, оказываемых российскими лицами, по отношению к товарам, происходящим из иностранного государства, работам, услугам, выполняемым, оказываемым иностранными лицами».

Запрета явного там нет совсем (отклонять заявки не нужно), но методика определения победителя существенно повышает шансы именно отечественных решений.

Но вернёмся к прямым запретам, а заодно закроем тему общих запретов при закупках для обеспечения государственных и муниципaльных нужд, а то пока не очень ясно - при чём тут КИИ? Верно? ;-)

Закрывает тему запретов в госзакупках Постановление Правительства РФ №1746 от 21.12.2019 «Об установлении запрета на допуск отдельных видов товаров, происходящих из иностранных государств, и внесении изменений в некоторые акты Правительства Российской Федерации», которое в своё время установило запрет на допуск к закупкам иностранных программно-аппаратных комплексов систем хранения данных (код ОК 034-2014 (КПЕС 2008) 26.20.2 “Устройства запоминающие и прочие устройства хранения данных”), но с 26 декабря 2021 г. данный НПА уже прекратил действие в связи с истечением срока.

Возможно, ограничения именно для обеспечения государственных и муниципальных нужд, исходя из прямого следования заголовку поста, можно было бы так подробно не рассматривать, но, во-первых, формально и на КИИ рассмотренное действует, а во-вторых - есть вполне понятный приём, когда уже действующее законодательство в части запретов и ограничений просто распространяют на новые субъекты/объекты права. Так что, вполне может так статься, что уже неоднократно уточнённые и применённые на практике ограничения для госзакупок будут просто распространены на более широкий спектр закупок. Опыт-то работы с этими ограничениями у контролирующих органов имеется.

Ну, и ещё как аргумент - так как структура собственности многих весьма крупных холдингов и компаний сейчас меняется, то вполне реальны ситуации, когда организация, много лет ранее осуществлявшая закупки по своим собственным правилам и регламентам, будет обязана, например, по решению новых собственников перейти на тот же 223-ФЗ.

Теперь непосредственно про КИИ.

Приведённый на скриншоте в начале поста пик на графике по датам примерно совпадает с принятием двух указов Президента РФ (хотя, первого, конечно, больше), последний год активно обсуждаемых каждый раз, когда заходит речь об импортозамещении:

• Указ Президента РФ №166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ»;
• Указ Президента РФ №250 от 01.05.2022 «О дополнительных мерах по обеспечению ИБ РФ».

Указ №166 достаточно короткий, но если ещё сократить, то суть в запрете c 31 марта 2022 года всем, кто осуществляет закупки в соответствии c Федеральным законом №223-Ф3 от 18.07.2011 «О закупках…» (за исключением оргaнизаций c муниципальным участием), закупать иностранное ПО, в том числе в составе ПАК, для использования на значимых объектах (ЗО) КИИ, a также услуги, необходимые для использования иностранных ПО (и ПАК), без согласования c соответствующим федеральным органом исполнительной власти, а c 01 января 2025 года тем же организациям и дополнительно всем органам госвласти - использовать иностранное ПО, в том числе в составе ПАК на ЗО КИИ.

Помимо ввода ограничений, указ №166 дополнительно устанавливал ряд поручений Правительству РФ, из которых часть была исполнена принятием Постановления Правительства РФ №1478 от 22.08.2022 «Об утверждении требований к ПО, Правил согласования закупок иностранного ПО и услуг, необходимых для использования этого ПО, и Правил перехода на преимущественное использование российского ПО, […] (за исключением организаций с муниципальным участием), для принадлежащих им ЗО КИИ РФ», а именно - были утверждены:

• требования к ПО, используемому органами госвласти, заказчиками [кто осуществляет закупки в соответствии c Федеральным законом №223-Ф3 от 18.07.2011] на принадлежащих им ЗО КИИ;
• правила согласования закупок иностранного ПО в целях его использования заказчиками [кто осуществляет закупки в соответствии c Федеральным законом №223-Ф3 от 18.07.2011] на принадлежащих им ЗО КИИ, а также закупок услуг, необходимых для использования этого ПО на таких объектах.

Правила рассматривать не будем, а вот Требования к ПО получились короткими:

• 1. Программное обеспечение, в том числе в составе программно-аппаратных комплексов, используемое органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, должно быть включено в единый реестр российских программ для электронных вычислительных машин и баз данных или в единый реестр программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации.

• 2. Программное обеспечение, предназначенное для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, а также программное обеспечение, предназначенное для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах на объектах критической информационной инфраструктуры Российской Федерации, должно соответствовать настоящим требованиям и требованиям, установленным Федеральной службой по техническому и экспортному контролю и (или) Федеральной службой безопасности Российской Федерации в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).

Если сократить, то ПО должно быть из реестра, а если оно предназначено для обеспечения безопасности (в том числе для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (ОПиЛПКА) и (или) обмена информацией о компьютерных инцидентах), то дополнительно иметь сертификат ФСТЭК/ФСБ России.

Тем же Постановлением Правительства РФ №1478 от 22.08.2022 были утверждены и ФОИВы (федеральные органы исполнительной власти), уполномоченные Правительством РФ согласовывать закупки иностранного ПО:

• Министерство здравоохранения Российской Федерации - для ЗО КИИ в сфере здравоохранения;
• Министерство науки и высшего образования Российской Федерации - для ЗО КИИ в сфере науки;
• Министерство транспорта Российской Федерации - для ЗО КИИ в сфере транспорта;
• Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации - для ЗО КИИ в сфере связи;
• Министерство финансов Российской Федерации - для ЗО КИИ в банковской сфере и иных сферах финансового рынка;
• Министерство энергетики Российской Федерации - для ЗО КИИ в сферах энергетики и топливно-энергетического комплекса;
• Министерство промышленности и торговли Российской Федерации - для ЗО КИИ в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии.

Дополнительно могут привлекаться отраслевые центры компетенций по импортозамещению ПО, в том числе созданные на базе учреждений, подведомственных указанным ФОИВам.

Контроль за соблюдением Правил согласования закупок иностранного ПО и соблюдением запрета на использование иностранного ПО на ЗО КИИ РФ был возложен на Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России).

Наконец, Постановление Правительства РФ №1478 от 22.08.2022 поручило Минцифры России разработать методические рекомендации по переходу на использование российского ПО, в том числе на ЗО КИИ. Поручение было исполнено принятием Приказа Минцифры России №21 от 18.01.2023 «Об утверждении Методических рекомендаций по переходу на использование российского ПО, в том числе на ЗО КИИ РФ, и о реализации мер, направленных на ускоренный переход органов госвласти и организаций на использование российского ПО в РФ». Подробное рассмотрение данных рекомендаций - вопрос отдельный, но не упомянуть их сейчас было нельзя.

Второй из упомянутых выше Указов Президента РФ - №250 - в своей интересующей нас для целей поста части ещё короче:

6.) Установить, что с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.

Термин “орган (организация)” вводится в первом пункте Указа и означает:

• федеральные органы исполнительной власти, высшие исполнительные органы государственной власти субъектов Российской Федерации, государственные фонды, государственные корпорации (компании) и иные организации, созданные на основании федеральных законов,
• стратегические предприятия, стратегические акционерные общества и системообразующие организации российской экономики,
• юридические лица,
• являющиеся субъектами критической информационной инфраструктуры Российской Федерации.

Пояснение по тому, что именно стоит считать средством защиты информации можно, как вариант, найти в вопросе, на который дал ответ Банк России в своём Письме от 09.09.2022 N 017-56/8543 “О вопросах, предложениях, замечаниях, касающихся обеспечения кредитными организациями информационной безопасности и защиты данных клиентов”:

В соответствии с п. 2.7.2 ГОСТ Р 50922-2006 под термином “средство защиты информации” понимается техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации. Таким образом, под общее определение СЗИ подпадает широкий спектр средств, в том числе, например, встроенные средства операционных систем или функции телекоммуникационного оборудования.

К слову, в том же письме авторы вопросов уточняли мнение Центробанка, насколько целесообразно то, что в Указе №250 установлены требования сразу ко всем субъектам КИИ без учёта критериев значимости их объектов, на что Банк Росии ответил:

При привлечении Банка России к разработке нормативных правовых актов, принимаемых во исполнение Федерального закона N 187-ФЗ, Банк России высказывал позицию относительно целесообразности установления нормативного регулирования критической информационной инфраструктуры Российской Федерации (далее - КИИ) соразмерно регулированию, предусмотренному приказом ФСТЭК России N 239, который определяет необходимость применения специальных мер защиты информации только в отношении значимых объектов КИИ.

Вместе с тем следует отметить, что указанный подход в регулировании существенно сужает область информационной инфраструктуры, к которой предъявляются специальные требования к обеспечению информационной безопасности. В этой связи распространение положений Указа только на значимые объекты КИИ не обеспечивает безопасность КИИ в целом.

Вполне разумный подход, есть смысл прислушаться к мнению Центрального банка, тем более, что буквально на днях данный регулятор соответствующим федеральным законом был наделён полномочиями по контролю перехода финансовых организаций на преимущественное использование российского ПО, радиоэлектронной продукции и телекоммуникационного оборудования.

Все рассмотренные выше запреты на иностранное ПО и оборудование для удобства восприятия свёл в единую таблицу в конце данного поста. Конечно, существуют ещё и непрямые запреты, вытекающие из других требований (например, требования по безопасной разработке для прикладного ПО - пункт 29.3 Приказа №239 ФСТЭК России), но пост и так получился слишком объёмным.

В завершение - совсем свежая новость:

«Президентом подписано поручение было, 12 июня, в праздник, о том, что по всем госкомпаниям к 1 января 2025 г. обеспечить тотальное замещение операционных систем, офисного пакета, систем виртуализации, систем управления баз данных», – сообщил Шадаев. Он уточнил журналистам, что ранее аналогичное требование действовало только к объектам критической информационной инфраструктуры (КИИ).

Пока в итоговую таблицу не вношу, так как соответствующего НПА ещё нет, но лучше иметь в виду уже сейчас.

---

Таблица запретов иностранного ПО и оборудования

НПА	Область действия	Предмет запрета	Суть запрета
Постановление Правительства РФ №1236 от 16.11.2015 «Об установлении запрета на допуск ПО, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»	Закупки для обеспечения государственных и муниципальных нужд	- ПО на материальном носителе или по каналам связи, аренда ПО; - ПЭВМ, терминалы, серверы и иные СВТ (включая их техобслуживание), на которые будет установлено ПО; - разработка, модификация, модернизация ПО, сопровождение, техподдержка, обновление ПО, если заказчику будут предоставлены или расширены имеющиеся права на использование ПО.	Запрет на ПО из иностранных государств (кроме ПО из реестра евразийского ПО), за исключением: - случаев отсутствия в реестрах российского/евразийского ПО программного обеспечения того же класса или с установленными заказчиком функциональными, техническими и (или) эксплуатационными характеристиками; - закупки ПО для заказчика, работающего за рубежом; - если сведения о закупке ПО составляют гостайну.
Постановление Правительства РФ №878 от 10.07.2019 «О мерах стимулирования производства радиоэлектронной продукции на территории РФ при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, о внесении изменений в постановление Правительства РФ от 16 сентября 2016 г. № 925 и признании утратившими силу некоторых актов Правительства РФ»	Закупки для обеспечения государственных и муниципальных нужд	Радиоэлектронная продукция согласно Перечня	Запрет радиоэлектронной продукции, включенной в перечень, происходящей из иностранных государств (за исключением государств - членов Евразийского экономического союза), при условии, что на участие в закупке подана 1 (или более) удовлетворяющая требованиям заявка о поставке радиоэлектронной продукции, страной происхождения которой являются только государства - члены Евразийского экономического союза.
(утрат.)Постановление Правительства РФ №1746 от 21.12.2019 «Об установлении запрета на допуск отдельных видов товаров, происходящих из иностранных государств, и внесении изменений в некоторые акты Правительства РФ»	Закупки для обеспечения государственных и муниципальных нужд	ПАК СХД (код ОК 034-2014 (КПЕС 2008) 26.20.2 “Устройства запоминающие и прочие устройства хранения данных”)	!Важно! Прекращено действие с 21.12.2021 Запрет на допуск ПАК СХД из иностранных государств для целей осуществления закупок товаров(работ, услуг) для обеспечения государственных и муниципaльных нужд, в том в случае закупки работ (услуг), при выполнении (оказании) которых предусмотрена поставка товаров и случаев аренды и (или) лизинга.
Указ Президента РФ №166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» (пункт 1, подпункт а.)	Все, осуществляющие закупки в соответствии c Федеральным законом №223-Ф3 от 18.07.2011 «О закупках…» (за исключением организаций c муниципальным участием)	ПО, в том числе в составе ПАК, для использования на ЗО КИИ, a также услуги, необходимые для использования ПО (и ПАК)	Запрет c 31 марта 2022 года на закупки иностранного без согласования c федеральным органом исполнительной власти, уполномоченным Правительством РФ.
Указ Президента РФ №166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» (пункт 1, подпункт б.)	Все, осуществляющие закупки в соответствии c Федеральным законом №223-Ф3 от 18.07.2011 «О закупках…» (за исключением организаций c муниципальным участием), и органы госвласти	ПО, в том числе в составе ПАК, для ЗО КИИ	Запрет c 01 января 2025 года на использование иностранного.
Указ Президента РФ №250 от 01.05.2022 «О дополнительных мерах по обеспечению ИБ РФ» (пункт 6.)	Органы,(организации), являющиеся субъектами КИИ	СрЗИ - средства защиты информации	Запрет c 01 января 2025 года на использование СрЗИ, странами происхождения которых являются иностранные государства, совершающие в отношении РФ, российских юрлиц и физлиц недружествeнные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные c ними.
Постановление Правительства РФ №1478 от 22.08.2022 «Об утверждении требований к ПО, Правил согласования закупок иностранного ПО и услуг…» (Требования к ПО, пункт 1.)	Все, осуществляющие закупки в соответствии c Федеральным законом №223-Ф3 от 18.07.2011 «О закупках…» (за исключением оргaнизаций c муниципальным участием), и органы госвласти	ПО, в том числе в составе ПАК, для ЗО КИИ	Должно быть включено в единый реестр российских программ для ЭВМ и БД или в единый реестр программ для ЭВМ и БД из государств - членов Евразийского экономического союза, за исключением РФ.
Постановление Правительства РФ №1478 от 22.08.2022 «Об утверждении требований к ПО, Правил согласования закупок иностранного ПО и услуг…» (Требования к ПО, пункт 2.)	Все, осуществляющие закупки в соответствии c Федеральным законом №223-Ф3 от 18.07.2011 «О закупках…» (за исключением оргaнизаций c муниципальным участием), и органы госвласти	ПО для обеспечения безопасности ЗО КИИ, для ОПиЛПКА и (или) обмена информацией о КИ	Должно быть включено в единый реестр российских программ для ЭВМ и БД или в единый реестр программ для ЭВМ и БД из государств - членов Евразийского экономического союза, за исключением РФ. Дополнительно соответствовать требованиям ФСТЭК России и (или) ФСБ России (иметь сертификат).

--- === @zlonov === ---