Запрет на использование windows в государственных учреждениях
Обновлено: 07.07.2024
Сфера деятельности – работа в фирме системным администратором. Парк фирмы – несколько десятков компьютеров. В обязанности входит установка программного обеспечения, помощь c настройками пользователям, поддержание работы сети и администрирование. Фирмой закуплено три лицензионных комплекта операционной системы (ОС), офисный пакет (для первых лиц фирмы), один комплект для разработки и компиляции программ. На три компьютера устанавливаются лицензионная ОС и офисный пакет. На все остальные заставляют скачивать из Интернета взломанные версии или поддельные лицензии. Если ПО не будет установлено и работоспособно, то системного администратора увольняют и нанимают нового. Кто и за что несет ответственность в описанной ситуации? Несет ли системный администратор ответственность за то, что скачал из Интернета взломанные программы и установил? Нарушает ли системный администратор какой-либо закон? Если человек пользуется дома не лицензионным ПО (для личного пользования и для извлечения прибыли, работая фрилансером), нарушает ли он закон?
По закону, за использование программного обеспечения (далее – ПО) без разрешения правообладателя (без лицензионного договора) уголовную или административную ответственность должно нести то лицо, которое это ПО использовало. В данном случае под "использованием" закон подразумевает воспроизведение программы, т.е. ее установку на компьютер. Иными словами, отвечает тот, кто инсталлировал данное ПО. Таким образом, системный администратор становится ответственным лицом. Для того чтобы ответственность легла на руководителя, нужно, чтобы инициатива приобретения ПО исходила от руководства. Компьютеры должны использоваться организацией, а лучше — стоять на балансе. Также следует формализовать то, что вы информируете руководство о том, что использование контрафакта наказуемо уголовно и административно.
При соблюдении вышеуказанных условий ответственность будет нести руководитель организации.
В ст. 146 "Нарушение авторских и смежных прав Уголовного кодекса РФ предусмотрена следующая ответтсвенность.
1. Присвоение авторства (плагиат), если это деяние причинило крупный ущерб автору или иному правообладателю, наказывается штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок до 480 часов, либо исправительными работами на срок до одного года, либо арестом на срок до шести месяцев.
2. Незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере, наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок до 480, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные ч. 2 этой статьи, если они совершены: группой лиц по предварительному сговору или организованной группой; в особо крупном размере; лицом с использованием своего служебного положения, наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере до 500 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до трех лет или без такового.
Деяния, предусмотренные указанной статьей, признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышают 100 тыс. руб., а в особо крупном размере — 1 млн руб.
В случае отсутствия крупного ущерба наступает административная ответственность.
В соответствии с ч. 1 ст. 7.12 "Нарушение авторских и смежных прав, изобретательских и патентных прав" КоАП РФ ввоз, продажа, сдача в прокат или иное незаконное использование экземпляров произведений или фонограмм в целях извлечения дохода в случаях, если экземпляры произведений или фонограмм являются контрафактными в соответствии с законодательством РФ об авторском праве и смежных правах либо на экземплярах произведений или фонограмм указана ложная информация об их изготовителях, о местах их производства, а также об обладателях авторских и смежных прав, а равно иное нарушение авторских и смежных прав в целях извлечения дохода, влечет наложение административного штрафа на граждан в размере от 1500 до 2000 руб. с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения; на должностных лиц — от 10 до 20 тыс. руб. с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения; на юридических лиц — от 30 до 40 тыс. руб. с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения.
Также правообладатель сможет выставить в суде гражданские требования о возмещении убытков. ПО - это результаты интеллектуальной деятельности. В силу ст. 1301 Гражданского кодекса РФ в случаях нарушения исключительного права на произведение автор или иной правообладатель наряду с использованием других применимых способов защиты и мер ответственности, установленных ГК РФ (ст. 1250, 1252 и 1253), вправе в соответствии с п. 3 ст. 1252 ГК РФ требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации.
ПО является объектом авторских прав (ст. 1259 ГК РФ) и охраняется так же, как и литературные произведения (см. ст. 1256, 1261 ГК РФ). Ответственными за нарушение авторских прав на лицензионное ПО могут выступать как организации, так и физические лица.
Таким образом, системный администратор, который использует в домашних условиях нелицензионное ПО, также будет нести ответственность за незаконное использование.
«В рамках второго пакета мер поддержки IT-отрасли Минцифры планирует ввести требование о необходимости согласования с ведомством приобретения зарубежного ПО госорганами и госкомпаниями», – сообщил «Ведомостям» представитель Минцифры. Второй пакет мер поддержки был передан в правительство в марте и в скором времени может поступить на подпись премьер-министру – после утверждения программы на уровне вице-премьера Дмитрия Чернышенко.
Сейчас при проведении закупки любой госзаказчик обязан прежде всего искать нужные ему программные продукты в реестре отечественного ПО. Если в полной мере подходящего ПО в реестре не находят, закупающие пишут мотивированное обоснование «невозможности соблюдения запрета на допуск программного обеспечения, происходящего из иностранных государств». Обоснование включают в досье при оформлении закупки того ПО, которое ищет заказчик.
Заявки в рамках процедуры госзакупки оформляются через единую информационную систему – ее контролирует Минэкономразвития. Документы и саму процедуру закупок проверяют на каждом из этапов – от планирования до исполнения обязательств по контракту. Основными контролирующими органами являются ФАС и Федеральное казначейство.
Как показывает практика, действующей системы контроля недостаточно для того, чтобы эффективно отфильтровывать и выявлять неправомерные заявки на закупку иностранного ПО (т. е. те случаи, когда может быть куплен российский продукт, но заказчик хочет приобрести иностранный).
Например, весной 2020 г. департамент информационных технологий Москвы разместил закупку на 90 млн руб., указав в обосновании специфические характеристики, присущие только стандарту ПО Microsoft. Эти условия исключили возможность участия в конкурсной процедуре каких-либо альтернативных российских разработчиков, отмечалось в письме Ассоциации разработчиков программных продуктов «Отечественный софт», направленном на имя министра цифрового развития Максута Шадаева и в аппарат мэра Москвы.
В Минцифры предлагают усилить систему контроля, дополнив ее еще одним звеном – утверждением заявки профильным ведомством. Идея в том, что специалист Минцифры более квалифицированно проверит заявку на закупку иностранного ПО, в особенности обоснование невозможности закупки отечественного софта с аналогичными функциями.
Сложность государственного подхода к импортозамещению состоит в том, чтобы дать возможность развиваться рынку отечественного программного и аппаратного обеспечения, но при этом не поставить российских потребителей ПО и «железа» перед фактом ограничений функциональности импортозамещенных продуктов, говорит заместитель генерального директора Softline по работе с национальными проектами Андрей Шолохов.
«Способы обхода основного акта по импортозамещению – постановления правительства о запрете закупки иностранного ПО – достаточно хорошо изучены, – утверждает исполнительный директор ассоциации «Отечественный софт» Ренат Лашин. – Помимо «обоснования невозможности закупки отечественного ПО» есть, к примеру, закупка иностранного ПО в составе программно-аппаратных комплексов, когда софт устанавливается в качестве бонуса и не указывается в закупочной документации».
«Второй пакет мер поддержки IT-отрасли предусматривает изменение процедуры обоснования невозможности закупки российского ПО от просто написания к согласованию такой невозможности с организацией, назначенной регулятором, – поясняет Илья Массух, руководитель Центра компетенций по импортозамещению. – Таким образом данный ход будет устранен. Отдельно хочу отметить, что использование подобных лазеек чревато для госкомпаний, так как при проверке Счетной палаты подобные «обоснования» будут проверяться в первую очередь и такие закупки могут быть признаны нецелевым расходованием средств».
Инициатива Минцифры является вполне обоснованной, считает руководитель практики технологического консалтинга PwC в России Тимофей Хорошев: «Это позволит снизить поток невалидных закупок, однако здесь есть и свои риски, а именно возможное увеличение срока согласования закупок из-за больших объемов обязательных обращений в ведомство».
Регулятор рекомендовал органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС.
В связи с прекращением поддержки Windows 7 производителем Федеральная служба по техническому и экспортному контролю России (ФСТЭК) рекомендовала органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС. ФСТЭК также опубликовала рекомендации по дополнительным мерам защиты информации на время, пока Windows 7 не будет заменена на более новые ОС.
По той же причине органы власти и госучреждения продолжают пользоваться Windows Server 2008 R2, расширенная поддержка которой прекратилась 14 января 2020 года (основная поддержка была завершена 13 января 2015 года).
Регулятор рекомендовал до 1 июня нынешнего года перейти на поддерживаемые ОС, а до тех пор принять дополнительные меры безопасности. В частности, необходимо установить все актуальные обновления, заблокировать автоматическую установку обновлений, отключить устройства, работающие под управлением устаревших ОС, от интернета и ведомственных компьютеров, обеспечить резервное копирование данных и пр.
«В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная" и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.
Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930», - сообщила ФСТЭК.
Компания Microsoft прекратила официальную поддержку Windows 7 14 января 2020 года. Поддержка новой версии браузера Microsoft Edge на движке Chromium для Windows 7 будет продолжаться по меньшей мере до июля 2021 года.
В конце мая Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации выступило с инициативой в сжатые сроки осуществить переход на "преимущественное использование" российского программного обеспечения и оборудования на объектах критической информационной инфраструктуры. В соответствии с этим предложением владельцы объектов критической информационной инфраструктуры (КИИ) будут обязаны перейти на преимущественное использование российского ПО до 1 января 2021 г., российского оборудования - до 1 января 2022 г. [1]
В данной статье мы предлагаем проанализировать, каким образом данная инициатива отразится на перспективах дальнейшего использования иностранных облачных сервисов субъектами КИИ, а также рассмотреть возможные последствия отказа от иностранных облачных решений. Кроме того, мы остановимся на некоторых существующих требованиях законодательства, которые и без принятия предложенных изменений значительно ограничивают возможность использования облачных сервисов субъектами КИИ.
Существующие законодательные ограничения возможности использования иностранных облачных сервисов на объектах КИИ
На данный момент законодательство о КИИ содержит ряд требований, которые де-факто в значительной степени ограничивают использование иностранного программного обеспечения или услуг иностранных провайдеров (в т.ч. облачных провайдеров) на объектах КИИ.
Такие ограничения на данный момент касаются только значимых объектов КИИ.
Например, входящие в состав значимого объекта 1 категории программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации. [2] Фактически это означает, что при необходимости использования на таких объектах КИИ облачных сервисов, субъекты КИИ ограничены выбором только среди тех решений, которые могут гарантировать полную локализацию в России.
В феврале этого года ФСТЭК выступила с инициативой [3] распространить данное требование также на значимые объекты 2 категории (изменения должны вступить в силу с 1 января 2023 года).
Кроме того, в отношении всех значимых объектов КИИ установлен ряд ограничений, которые фактически делают невозможным оказание технической поддержки облачных сервисов в привычном для отрасли формате со стороны поставщиков услуг (даже российских). В частности, запрещен удаленный доступ любых третьих лиц, не являющихся работниками субъекта КИИ, непосредственно к ПО и оборудованию объекта КИИ для обновления или управления. Также не допускается передача любой (даже технологической информации) разработчику ПО и оборудования без контроля со стороны субъекта КИИ. Правда стоит отметить, что в уже упомянутой инициативе ФСТЭК предлагается в случае технической невозможности исключения удаленного доступа к ПО и оборудованию в значимом объекте КИИ должны быть приняты организационные и технические меры по обеспечению безопасности такого доступа.
Использование иностранных облачных решений выглядит еще более затруднительным, если субъект КИИ подпадает под иные (не связанные с КИИ) требования, ограничивающие или запрещающие использование не локализованного ПО и оборудования или устанавливающие ограничения на привлечение иностранных поставщиков услуг:
1) ограничения на закупку иностранного ПО и оборудования для государственных нужд: если субъект КИИ одновременно подпадает под требования 44-ФЗ, любые закупки облачных решений также автоматически подпадают под ограничения на закупку иностранного ПО и оборудования для государственных нужд;
2) локализация персональных и пользовательских данных:
- если какие-либо информационные системы в составе объекта КИИ содержат персональные данные российских граждан, субъект КИИ обязан обеспечить локализацию баз данных таких российских граждан в России;
- субъект КИИ, который является организатором распространения информации (актуально, например, для операторов связи), также обязан обеспечить хранение пользовательских данных в России.
Безусловно, требования о локализации персональных и пользовательских данных в России не исключают полностью использование иностранных облачных решений (закон не запрещает использовать зарубежные облачные решения для обработки таких данных при условии исполнения требований о локализации), однако, ряд компаний может отказаться от использования иностранных серверов для хранения таких данных для оптимизации расходов по поддержанию дублирующих баз данных.
3) ограничения в отношении сведений, составляющих государственную тайну: если в состав объекта КИИ входят сведения, составляющие государственную тайну, субъект КИИ должен обеспечивать соблюдение законодательства о гостайне в части доступа третьих лиц к таким данным (в частности, в части наличия лицензий и допусков). Очевидно, что на практике получение таких лицензий и допусков иностранными провайдерами (их сотрудниками) невозможно, что означает невозможность использования иностранных облачных решений на таких объектах в целом.
Переход на "преимущественное использование" российского ПО и оборудования на объектах КИИ
Как мы уже отмечали, Минкомсвязи вынесло на рассмотрение проект Указа Президента РФ совместно с проектом Постановления Правительства РФ, предполагающие переход предприятий-владельцев объектов критической информационной инфраструктуры на преимущественное использование российского ПО до 1 января 2021 г., на российское оборудование - до 1 января 2022 г. [4]
Данные требования распространяются на все объекты КИИ, без разделения на значимые и незначимые. С учетом общей тенденции на ужесточение регулирования вопросов информационной безопасности, в т.ч. в сфере КИИ, мы не можем исключать того, что российские государственные органы и суды будут применять консервативный подход и рассматривать в качестве объектов КИИ всю ИТ-инфраструктуру, используемую субъектами КИИ (даже если отдельные ИТ-системы субъекта КИИ не относятся к критическим процессам и необходимы исключительно для внутренних целей компании). Применение такого подхода фактически будет означать, что субъекты КИИ не смогут использовать ПО и ИТ-оборудование иностранного происхождения даже для решения своих внутренних задач, не относящихся напрямую к основной сфере деятельности.
Указанные требования будут относиться не только к будущим закупкам программного обеспечения и оборудования, но и к ПО и оборудованию уже используемому субъектами КИИ: проект Постановления Правительства устанавливает обязанность субъектов КИИ провести аудит существующих объектов КИИ и запланировать переход на отечественные аналоги используемого на таких объектах КИИ иностранного программного обеспечения и оборудования.
Согласно проекту Постановления Правительства, субъекты КИИ смогут продолжить использовать иностранный софт, если в российском и реестре программного обеспечения ЕАЭС отсутствует соответствующий класс (тип), являющийся аналогом иностранного ПО, используемого субъектом КИИ. Иностранное оборудование можно будет использовать, если в реестре российской радиоэлектронной продукции отсутствуют соответствующие аналоги, или, если имеющиеся аналоги не позволяют по своим техническим характеристикам достичь определенных законодательством целей и задач субъекта КИИ.
При этом, даже если в силу отсутствия аналогов, субъект КИИ будет вправе продолжить использование иностранного ПО и оборудования, модернизация, гарантийная и техническая поддержка такого ПО и оборудования может осуществляться только российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических и (или) юридических лиц.
Предложенные изменения создают монополию для разработчиков и производителей российского софта и оборудования, а также фактически диктуют условия закупок частным банкам, операторам связи и иным компаниям, осуществляющим деятельность на российском рынке. В результате принятия предложенных актов частные компании будут обязаны приобретать ПО и оборудование из предложенного государством списка, что представляется весьма спорным.
Изменения затронут, в первую очередь, будущие поставки иностранными вендорами программного обеспечения и оборудования банкам, коммуникационным компаниям, предприятиям энергетического сектора и иных отраслей экономики, указанных в Законе о КИИ.
Поскольку проекты Указа и Постановления предполагают переход на отечественное ПО и оборудование без учета заложенного срока использования имеющегося иностранного ПО и оборудования, уже установленного на объектах КИИ, значительные убытки понесут иностранные поставщики, бизнес-модель которых предполагает получение основной прибыли не от самой поставки, а от оказания услуг по сопровождению и поддержке поставленного ПО и оборудования (сервисная модель).
В свою очередь сами субъекты КИИ также понесут значительные расходы, связанные с переоснащением своих IT-систем на отечественное ПО и оборудование. Так, например, по оценке Ассоциации банков России, для замещения всего ПО и IT-оборудования только банкам разово придется потратить более 700 млрд рублей, причем с учетом сжатых сроков реализации эта сумма может возрасти еще больше. [5]
С учетом того, что к субъектам КИИ относится значительное число предприятий, прямо или косвенно финансируемых за счет бюджета, такой переход создаст существенную дополнительную финансовую нагрузку на бюджет Российской Федерации, регионов и муниципальных образований в период восстановления экономики после масштабного кризиса 2020 года.
Более того, столь поспешная замена ключевого программного обеспечения и оборудования, может привести не к повышению, а, напротив, к существенному снижению уровня безопасности объектов КИИ с вытекающими из этого негативными последствиями не только для всех субъектов КИИ, но и для экономики в целом. Реализация указанных требований неизбежно повлечет за собой ограничение рыночной конкуренции, снижая качество доступных субъектам КИИ технических решений. В то время, как российское ПО может формально являться аналогом иностранного по классу и типу, оно может не обеспечивать аналогичный уровень надежности и удобства использования.
В этой связи целесообразно рассмотреть следующие предложения:
1) Отложить принятие актов до улучшения экономической ситуации.
2) Установить более продолжительный переходный период, учитывающий релевантные для каждой отрасли жизненные циклы программного обеспечения и оборудования на объектах КИИ. Данное изменение позволит разумно сократить расходы субъектов КИИ на замену иностранного ПО и оборудования российским с учетом сроков действия уже приобретенных лицензий на программное обеспечение и сроков амортизации оборудования.
3) Не распространять требования на объекты КИИ, не являющиеся значимыми. Это позволит без увеличения рисков, связанных с угрозой безопасности критической информационной инфраструктуре, оптимизировать финансовые и административные затраты субъектов КИИ на осуществление перехода на отечественное ПО и оборудование.
4) В целях обеспечения надежного и безопасного функционирования объектов КИИ установить более гибкие критерии для выявления наличия в реестрах соответствующих российских аналогов, принимая во внимание не только формальные признаки (отнесение к одному классу/типу/ОКПД), но и функциональные и технические характеристики в каждом отдельном случае.
5) При отсутствии в российских реестрах необходимых аналогов допустить свободное привлечение субъектами КИИ иностранных юридических лиц для модернизации, гарантийной и технической поддержки иностранного программного обеспечения и (или) оборудования иностранных юридических лиц (в том числе в отношении значимых объектов КИИ (при условии соблюдения иных требований, установленных действующим регулированием КИИ)). В силу специфики отдельных видов программного обеспечения и оборудования, модернизация и техническая поддержка иностранного программного обеспечения и (или) оборудования без привлечения непосредственного разработчика такого программного обеспечения и оборудования (иностранного правообладателя) может привести не к повышению, а к понижению уровня защищенности и ухудшению качества соответствующих услуг.
[2] П. 31 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ (утв. Приказом ФСТЭК России от 25.12.2017 № 239).
Читайте также: