Об опасности иностранного ПО и рекомендациях Банка России
05/02/2015
С недавних пор в коммерческих предложениях некоторых российских поставщиков программного обеспечения начали появляться упоминания о якобы изданных рекомендациях Банка России по вопросу о рисках, связанных с использованием иностранного программного обеспечения.
Изданы и вступили в действие Рекомендации в области стандартизации Банка России РС БР ИББС-2.6-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на этапах жизненного цикла автоматизированных банковских систем». Это крайне важный и полезный документ, с которым имеет смысл внимательно ознакомиться, без преувеличения, каждому участнику разработки программного обеспечения (ПО) в российских банках или для них. Документ доступен на сайте Банка России по следующему адресу: http://www.cbr.ru/credit/Gubzi_docs/rs-26-14.pdf.
Но ни перечитывание текста, ни контекстный поиск, ни расспросы сведущих коллег не помогли найти какие-либо упоминания «иностранного программного обеспечения» в этих Рекомендациях или в иных документах Банка России. В какой-то момент появилась удачная возможность поднять этот вопрос в разделе «разное» заседания Комитета по банковской безопасности Ассоциации российских банков. В результате удалось быстро получить от представительной группы экспертов, присутствовавших на заседании, достаточно исходной информации для того, чтобы на следующий день реконструировать ситуацию исчерпывающим образом. Начнём с конца.
Ситуация заслуживает в качестве эпиграфа строк Ф.И. Тютчева:
Нам не дано предугадать, как слово наше отзовется...
Первопричина цепочки событий – последняя строчка пункта 8.4 упомянутых выше рекомендаций Банка России РС БР ИББС-2.6-2014. В ней в качестве одной из угроз информационной безопасности, от которых «рекомендуется обеспечить защиту», упомянуто следующее: «утрата прав (лицензий) на использование средств разработки». В середине августа 2014 года, вскоре после официального опубликования РС БР ИББС-2.6-2014 в «Вестнике Банка России» №70 (1548) от 31 июля 2014 года, начали появляться публикации в СМИ, в которых об опасностях «иностранного» ПО говорилось с явной или подразумеваемой ссылкой именно на эти рекомендации Банка России или на распоряжение председателя Банка России №Р-556, которым они были утверждены.
То, что написано в одной из первых таких статей, которые удалось найти, дает возможность в точности понять, что произошло. В ней была процитирована упомянутая выше строчка из п. 8.4 документа РС БР ИББС-2.6-2014, но частично и с небольшим дополнением. Получилось, по смыслу, что Банк России рекомендует обеспечить «защиту от утраты прав (лицензий) на использование» не средств разработки, а «банковских программ». Строго говоря, такая замена слов основана на естественном и даже здравом рассуждении: если угроза утраты прав актуальна для средств разработки, то она, наверно, существует и для иного банковского ПО. А обострённый интерес к вопросу «о санкциях» как бы подсказывает, откуда исходит угроза. И на этом фоне итоговая мысль статьи об опасности именно иностранного ПО (в том числе, в связи с риском отзыва лицензий) отнюдь не кажется ни спорной, ни неожиданной. Скорее наоборот, она «витает в воздухе».
Статья породила вторичные публикации. Возможно были и другие первичные, авторы которых «параллельно и независимо» сочли, что в обсуждаемой строчке РС БР ИББС-2.6-2014 подразумевается угроза отзыва правообладателями лицензий на использование иностранного ПО. На самом деле, ни в рекомендациях РС БР ИББС-2.6-2014, ни, тем более, в кратком распоряжении Р-556 нигде ничего не сказано об «иностранном», «импортном», «заграничном», «зарубежном» и тому подобном ПО, как и вообще о его «месте происхождения». А риск утраты лицензий существует и в случае использования вполне «российских» средств разработки. Или «иностранных», но по причине не отзыва лицензий, а «правовой небрежности» при выборе программных инструментов, неумения прочесть и понять запутанный лицензионный договор, адекватно оценить подлежащие «охвату» лицензией версии ПО и количество рабочих мест, учесть последствия смены правообладателя, изменения его лицензионной политики и т. д., и т. п.
Тем не менее, сказать, что от Банка России не исходили рекомендации касательно «опасности иностранного ПО», на сегодня было бы не совсем правильно, и вот почему. Незадолго до вступления в силу РС БР ИББС-2.6-2014, позицию по вопросу о рисках, связанных с использованием иностранного ПО, Банк России обнародовал. Не в форме своего официального документа, а посредством разъяснений, предоставленных пресс-службой Банка России газете «Известия». Они опубликованы 27 августа 2014 года.
В них отмечено, что в случае применения к российским кредитным организациям санкций со стороны иностранных государств, разработчик ПО, как правило, имеет возможность отозвать лицензию на его использование, что это риск для банка, работа которого может быть существенно затруднена, и что в связи с этим сформулирована рекомендация «по ограничению в договорах права разработчиков отзывать лицензии».
Эта рекомендация отражена не в документе РС БР ИББС-2.6-2014 (в нем, как и в других «документах БР ИББС», об этом – ни слова), она содержится в самих разъяснениях. Это – «неофициальная» рекомендация от специалистов Банка России, обнародованная им через свою пресс-службу.
Прежде всего, имеет смысл заметить, что и эта рекомендация касается не только иностранного ПО. Данная рекомендация представляется весьма разумной, и есть много практически значимых ситуаций, когда она вполне осуществима. А простого ответа на вопрос, что делать в тех многочисленных случаях, когда эту рекомендацию выполнить на практике заведомо невозможно, увы, не существует.
Может быть, со временем рекомендации или даже требования, касающиеся «лицензионной безопасности» использования программного обеспечения, найдут отражение и в нормативных документах Банка России. А то и в законодательных актах более высокого уровня. Проблема ведь отнюдь не только банковская. Например, согласно подпункту «е» пункта 5 действующего «Положения о лицензировании деятельности по технической защите конфиденциальной информации» (Утверждённого Постановлением Правительства РФ от 03 февраля 2012 года №79), одно из лицензионных требований – «наличие предназначенных для осуществления лицензируемого вида деятельности программ для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании». Применительно к «иностранному» ПО, это логически влечет обязательное требование (не рекомендацию) о «защите от утраты» прав на использование ПО.
Возможно, происходящее осознание реальности данной проблемы поможет привлечь внимание, в частности, юристов, участников законотворчества и правоприменения, к вопросу поиска более сбалансированных подходов к защите интересов не только правообладателей, но и корпоративных, да и иных пользователей ПО. С учетом всех факторов, включая ранее не казавшиеся столь очевидными, значимых с точки зрения законных интересов государства, бизнеса, граждан и общества в целом.
Пока же представляется полезным уже то, что к данной проблеме привлечено внимание. Что касается Рекомендаций Банка России, то их безусловно имеет смысл изучить – по первоисточнику, он общедоступен.