Заключение Министерства экономического развития РФ об оценке регулирующего воздействия на проект Приказа Министерства связи и массовых коммуникаций РФ "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации" (от 05.06.2018 г. N 15354-СШ/Д26и)

Досье на проект

Министерство экономического развития Российской Федерации в соответствии с пунктом 26 Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии, утвержденных постановлением Правительства Российской Федерации от 17 декабря 2012 г. N 1318 (далее - Правила), рассмотрело проект приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации "Об утверждении требований по защите сетей связи от несанкционированного доступа и передаваемой по ним информации" (далее - проект акта, Требования), разработанный и направленный для подготовки настоящего заключения Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - разработчик), и сообщает следующее.

Проект акта направлен разработчиком для подготовки настоящего заключения впервые. Проект акта разработан в целях обеспечения защиты от несанкционированного доступа к сетям связи и передаваемой по ним информации.

Проектируемым регулированием предлагается обязать операторов связи в целях повышения защищенности от несанкционированного доступа к информации, передаваемой посредством сетей подвижной радиосвязи, сетей подвижной радиотелефонной связи, сетей подвижной спутниковой радиосвязи, обеспечить реализацию процедуры аутентификации и идентификации абонентов с использованием подтвержденных средств криптографической защиты информации*(1).

По результатам рассмотрения проекта акта и сводного отчета о проведении оценки регулирующего воздействия (далее - сводный отчет) установлено, что при подготовке проекта акта процедуры, предусмотренные пунктами 9 - 23 Правил, были соблюдены разработчиком.

Разработчиком проведены публичные обсуждения проекта акта и сводного отчета в срок с 27 декабря 2017 года по 25 января 2018 года. Информация об оценке регулирующего воздействия проекта акта размещена разработчиком на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: regulation.gov.ru (ID проекта акта 02/08/12-17/00076975). Замечания и предложения, поступившие в ходе публичного обсуждения проекта акта и сводного отчета, были включены разработчиком в сводку замечаний и предложений.

В процессе подготовки настоящего заключения в соответствии с пунктом 28 Правил Минэкономразвития России в срок с 22 марта по 28 марта 2018 г. были проведены дополнительные публичные консультации по проекту акта и сводному отчету с представителями предпринимательского сообщества с целью выявления мнения заинтересованных лиц относительно потенциальных рисков применения предлагаемого проектом акта регулирования.

По итогам проведения дополнительных публичных консультаций были получены отзывы от ПАО "МТС", ПАО "Вымпелком", ПАО "Мегафон", ПАО "Ростелеком", Международной Академии Связи.

В целях подготовки настоящего заключения 11 и 17 апреля 2018 г. в Минэкономразвития России также были проведены рабочие совещания с участием представителей Минкомсвязи России для обсуждения рисков и негативных эффектов, сопряженных с принятием проекта акта*(2). Кроме того,28 апреля 2018 г. было проведено совещание на уровне заместителей министров, куда были приглашены представители заинтересованных федеральных органов исполнительной власти для обсуждения возможных подходов в отношении реализации предлагаемого регулирования и снижения выявленных рисков и негативных эффектов.

На совещании, проведенном 28 апреля 2018 г., были достигнуты договоренности о доработке проекта акта согласно замечаниям Минэкономразвития России, озвученным на указанных совещаниях.

Письмом от 28 мая 2018 г. N ДА-П12-102-12698 разработчиком была представлена доработанная редакция проекта акта с учетом ряда замечаний, озвученных на указанных совещаниях.

Так, разработчиком было учтено замечание относительно возможности возникновения ситуации, при которой операторы связи имеют значительное количество SIM-карт, приобретенных у поставщиков до вступления в силу проектируемого регулирования, и при этом не имеют возможности их реализовать. В доработанную редакцию проекта акта включено положение, согласно которому Требования проектируемого регулирования не распространяются на SIM-карты, приобретенные оператором связи до вступления в силу проектируемого регулирования.

В постановляющую часть проекта акта также включено положение, возлагающее контрольные функции в части соблюдения сроков вступления в силу проектируемого регулирования на курирующего заместителя Министра цифрового развития, связи и массовых коммуникаций Российской Федерации.

Кроме того, разработчиком представлено подтверждение от двух организаций (АО "ИнфоТекс", АО "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" (далее - АО "ИТМиВТ)", согласно которым готовое техническое решение, необходимое для реализации проектируемого регулирования, может быть разработано в течение двух лет.

С учетом информации, представленной разработчиком по проекту акта,в отношении рассматриваемой его редакции Минэкономразвития России обращает внимание на необходимость учета следующих замечаний при его доработке.

1. Реализация мероприятий, предусмотренных пунктом 12 Требований, сопряжена с единовременными дополнительными затратами для операторов связи, обеспечивающими достижение целей регулирования только в отдаленной перспективе.

В настоящее время операторы связи используют стандартные центры аутентификации (AuC), производимые крупнейшими вендорами телекоммуникационного оборудования. Срок полезного использования такого оборудования еще не выработан. Однако с учетом изменений, предусмотренных проектом приказа, операторы связи будут вынуждены закупать дополнительно к существующим стандартным центрам аутентификации (AuC) оборудование, осуществляющее функции программно-аппаратного криптографического модуля (HSM), учитывая, что в обороте будут находиться как стандартные SIM-карты, так и SIM-карты нового образца.

Кроме того, оценка, озвученная разработчиком на указанных выше совещаниях, согласно которой всем операторам связи в совокупности придется приобрести не более 80 единиц оборудования HSM, не соотносится с оценкой операторов связи*(3). Так, согласно позиции, представленной АО "ИТМиВТ, одна единица разрабатываемого компанией оборудования HSM класса КА способна выполнить 10 млн. криптографических преобразований аутентификации абонентов подвижной связи в секунду. Стоимость одной единицы такого оборудования составляет 3,2 млн. рублей. АО "ИТМиВТ" также выразило готовность произвести 100 единиц необходимого оборудования в срок до 1 декабря 2019 года.

Вместе с тем из позиции, представленной АО "ИТМиВТ", не представляется возможным сделать вывод о том, работу какого количества SIM-карт сможет функционально обеспечить одна единица такого оборудования HSM.

Дополнительно необходимо отметить, что в настоящее время на территории Российской Федерации операторами связи обслуживается около 260 млн. SIM-карт. Таким образом, в соответствии с оценкой разработчика одна единица оборудования HSM сможет функционально обеспечивать работу 3,25 млн. SIM-карт.*(4)

В случае технической неисправности даже одной единицы оборудования HSM поддержка услуг связи для 3,25 млн. SIM-карт станет технически невозможной, что может привести к существенным негативным последствиям для значительного числа абонентов.

Учитывая изложенное, на операторов связи будет возложена обязанность по принятию мер, направленных на предотвращение вышеуказанных последствий. Данные меры будут заключаться, в первую очередь, в резервировании оборудования HSM*(5), что может повлечь за собой дополнительные затраты для операторов связи.

Дополнительно необходимо отметить, что в Минэкономразвития России также поступила позиция АО "ИнфоТеКС", согласно которой техническое решение, необходимое для реализации требований проектируемого регулирования, может быть разработано в течение двух лет.

Кроме того, учитывая, что процесс согласования, доработки и регистрации проекта акта может занять определенное время, считаем целесообразным в пункте 4 проекта приказа определить срок вступления в силу проекта акта не указанием на конкретную дату, а указанием на истечение определенного временного промежутка после дня официального опубликования приказа. Таким образом, считаем необходимым установить переходный период сроком не менее чем два года с момента официального опубликования приказа.

2. В ходе публичных консультаций представителями предпринимательского сообщества была неоднократно озвучена позиция, в соответствии с которой абонентское оборудование (SIM-карты пользователей) не находится в зоне ответственности операторов связи и не входит в состав сети связи оператора связи.

Таким образом, проект акта выходит за рамки обозначенного предмета правового регулирования, так как устанавливает требования не только к сетям связи, но и к абонентскому оборудованию.

Кроме того, производители оборудования не являются субъектами правоотношений данного проекта акта, а следовательно не несут ответственности за несоответствие производимого оборудования устанавливаемым требованиям. Введение новых требований, предъявляемых к оборудованию, проецирует увеличение спроса на продукцию.

Учитывая необходимость дополнительных затрат (финансовых, трудовых, временных) производителей на переориентирование производственного и технологического процессов и этапа предпродажной подготовки, включающей проведение требуемого сертифицирования, большинство производителей наладят выпуск и реализацию оборудования, отвечающего предъявляемым требованиям, в горизонте 2-3 лет. При этом производители, которые обеспечат выпуск и реализацию оборудования в первых рядах, получат ценовое, конкурентное преимущество, а также обеспеченный спрос при ограниченном предложении. Следовательно, указанное может привести к значительному удорожанию отпускных цен на оборудование, а также к потенциально возможному дефициту на рынке произведенного сертифицированного оборудования в необходимом количестве.

С учетом вышесказанного Минэкономразвития России рекомендует разработчику предусмотреть и нормативно закрепить механизм освобождения операторов связи от административной ответственности (при необходимости путем внесения изменений в главу 13 Кодекса Российской Федерации об административных правонарушениях), в случае, если к моменту вступления в силу проектируемого регулирования, не будет готового сертифицированного оборудования, отвечающего требованиям предлагаемого регулирования.

3. Кроме того, в настоящее время ведущими производителями смартфонов, электронных наручных часов, устройства "интернета вещей" и иного инновационного оборудования, разрабатываются и производятся устройства с встроенными модулями сотовой связи стандарта LTE и UMTS*(6). В ряде аналогичных устройств также представлены такие технологии как eSIM и iSIM.

Также необходимо отметить, что разработка iSIM позволяет встраивать модуль сотовой связи непосредственно в чипсет устройства.

Фактически предлагаемое в части SIM-карт регулирование "замораживает" технологическое развитие отрасли на уровне, достигнутом за последние несколько лет, и предписывает обязательное использование в устройствах пользователей SIM-карт, в то время как мировым трендом последних лет является отказ от данного формата средств абонентского оборудования.

В случае принятия проектируемого регулирования возможно возникновение ситуации, при которой производители устройств с встроенными полнофункциональными модулями сотовой связи и с использованием технологий с встроенными модулями сотовой связи не смогут поставлять и реализовывать уже произведенную и поставленную продукцию на российский рынок.

Кроме того, необходимо отметить, что строгая регламентация технических требований, применяемых ко всем SIM-картам, затрудняет возможность разработчиков оборудования и операторов связи для перспективных инновационных разработок и внедрения новых, востребованных видов услуг.

Учитывая вышесказанное, Минэкономразвития России рекомендует разработчику проработать и нормативно закрепить специальный механизм подтверждения соответствия устройств со встроенными модулями сотовой связи требованиям сертификации.

4. Минэкономразвития России в целях повышения эффективности правоприменения проектируемого регулирования дополнительно рекомендует разработчику проработать следующие вопросы:

4.1. В случае вступления в силу проектируемого регулирования наравне с новыми SIM-картами, соответствующими требованиям, операторами связи также будут поддерживаться SIM-карты, реализованные до вступления в силу проекта акта, что значительно расширяет сферу действия вводимого требования, а также сопряжено со значительными финансовыми и временными затратами.

Учитывая указанное, Минэкономразвития России рекомендует дополнительно проработать вопрос об определении круга лиц, которым, например, в силу определенных критериев, в том числе требования безопасности, конфиденциальности, было бы необходимо использование SIM-карт с различными степенями криптографической защиты.

Таким образом, обсуждаемое регулирование в части замены SIM-карт могло бы иметь не всеобщий, а адресный характер, что, в свою очередь, снизило бы расходы на его реализацию без снижения эффективности.

Более того, появление реальной необходимости в таких услугах со стороны отдельных потребителей стимулировало бы операторов связи на самостоятельную реализацию Требований. При этом реализация Требований послужила бы в качестве конкурентного преимущества для таких операторов связи.

4.2. Кроме того, следует отметить, что проектируемое регулирование требует внесения изменений в постановление Правительства Российской Федерации от 16 апреля 2012 г. N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)", а также в приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", так как SIM-карты, которые становятся сертифицированными средствами криптографической защиты информации, в соответствии с требованиями приказа должны учитываться и выдаваться абонентам по установленной процедуре, которую, по мнению операторов связи, невозможно реализовать на практике на массовом рынке*(7).

На основе проведенной оценки регулирующего воздействия проекта акта Минэкономразвития России сделан вывод о наличии достаточного обоснования решения проблемы предложенным способом регулирования.

Вместе с тем в случае учета изложенных в настоящем заключении замечаний, Минэкономразвития России может быть сделан вывод об отсутствии в проекте акта положений, вводящих избыточные обязанности, запреты и ограничения для физических и юридических лиц в сфере предпринимательской и иной экономической деятельности или способствующих их введению, а также положений, приводящих к возникновению необоснованных расходов физических и юридических лиц в сфере предпринимательской и иной экономической деятельности, а также бюджетов всех уровней бюджетной системы Российской Федерации.

А.С. Деханов

8(495)870-87-00, доб. 2611

Департамент оценки регулирующего воздействия

-------------------------------------------

*(1) Обеспечение процедур аутентификации и идентификации с использованием средств криптографической защиты информации (далее - СКЗИ) класса КА для оборудования коммутации узлов связи и класса КС3 для модуля идентификации абонентов USIM (R-UIM) в составе абонентского оборудования, имеющих подтверждение соответствия требованиям по безопасности информации, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

*(2) Уполномоченным представителем АО "Корпорация Эрикссон" был озвучен прогноз, согласно которому разработка указанного технического решения займет минимально 10-11 месяцев с момента регистрации проекта акта в Минюсте России. Разработчики технического решения и ведущие операторы связи в ходе проведения вышеуказанных совещаний сообщили, что процедура сертификации нового оборудования на практике может занять до 3 лет.

*(3) Согласно оценке ПАО "Мегафон" предположительно HSM придется приобретать на каждые 10 000 абонентов ввиду технических особенностей хранения данных, а также быстродействия в HSM. Кроме того, в проекте приказа предусматривается класс защиты - КА, реализация которого будет сопряжена с дополнительными организационными и техническими мерами,а также крупными затратами порядка 700 млн. рублей, а совокупные затраты операторов на внедрение проектируемых требований превысят 5 млрд. рублей, согласно оценке ПАО "Вымпелком".

*(4) Ввиду технических особенностей хранения данных в HSM.

260 000 000/ 80 = 3 250 000, где 260 000 000 - количество SIM-карт, 80 - количество единиц оборудования HSM

*(5) Согласно позиции операторов связи необходимо принимать меры, направленные на тройное резервирование

*(6) Например, соответствующим полнофункциональным модулем оснащено устройство Apple Watch Series 3 (GPS+Cellular)

*(7) Аналогичная позиция изложена в письме ФСБ России от 22 мая 2018 г.