Заключение Министерства экономического развития РФ об оценке регулирующего воздействия на проект Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ "Об утверждении Правил применения абонентских терминалов сетей подвижной радиотелефонной связи стандарта 5G технологии NR" (от 27.12.2019 г. N 45911-СШ/Д26и)

Досье на проект

Минэкономразвития России в соответствии с пунктом 26 Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии, утвержденных постановлением Правительства Российской Федерации от 17 декабря 2012 г. N 1318 (далее - Правила), рассмотрело проект приказа Минкомсвязи России "Об утверждении Правил применения абонентских терминалов сетей подвижной радиотелефонной связи стандарта 5G технологии NR" (далее - проект акта), разработанный и направленный для подготовки настоящего заключения Минкомсвязью России (далее - разработчик), и сообщает следующее.

Проект акта направлен разработчиком для подготовки настоящего заключения повторно. Ранее проект акта был размещен на Федеральном портале проектов нормативных правовых актов в информационно-телекоммуникационной сети "Интернет" по адресу: regulation.gov.ru (ID проекта: 02/08/04-19/00090573). Минэкономразвития России ранее было подготовлено заключение об оценке регулирующего воздействия без замечаний и направлено в адрес разработчика письмом от 7 августа 2019 года N 25791-СШ/Д26и.

Разработчиком проведены публичные обсуждения проекта акта и сводного отчета о проведении оценки регулирующего воздействия в период с 17 мая по 6 июня 2019 г., а также с 24 октября по 14 ноября 2019 года.

Информация об оценке регулирующего воздействия проекта акта размещена разработчиком на Федеральном портале проектов нормативных правовых актов в информационно-телекоммуникационной сети "Интернет" по адресу: regulation.gov.ru (ID проекта: 02/08/10-19/00096350).

Минэкономразвития России в соответствии с пунктом 28 Правил были проведены публичные консультации с представителями субъектов предпринимательской деятельности в период с 13 по 20 декабря 2019 года. В ходе публичных консультаций были получены позиции комиссии Российского союза промышленников и предпринимателей по связи и информационно-коммуникационным технологиям, ПАО "МегаФон", ООО "T2 Мобайл", АО "СМАРТС", ПАО "МТС", ПАО "Ростелеком", частично учтенные при подготовке настоящего заключения. Отдельные замечания и предложения субъектов предпринимательской деятельности приведены в приложении к настоящему заключению и рекомендуются к проработке разработчиком при доработке проекта акта.

Проектом акта устанавливаются требования к абонентским терминалам сетей подвижной радиотелефонной связи с целью их использования в стандарте 5G технологии NR.

Абонентские терминалы сетей стандарта 5G (телефоны, планшеты и подобные) в соответствии с пунктом 3 Правил организации и проведения работ по обязательному подтверждению соответствия средств связи, утвержденных постановлением Правительства Российской Федерации от 13 апреля 2005 г. N 214, подлежат обязательному подтверждению соответствия в форме декларирования на соответствие требованиям проекта акта.

Пунктом 19 проекта акта по сравнению с ранее рассмотренной редакцией предусматривается дополнительное требование по обеспечению защиты абонентского и сигнального трафика в радиоканале между базовой станцией и абонентским оборудованием, которая должна обеспечиваться использованием средств криптографической защиты информации (СКЗИ), в том числе имеющих подтверждение соответствия требованиям по безопасности информации класса КС3, установленным федеральным органом исполнительной власти в области обеспечения безопасности. То есть абонентские терминалы должны быть оборудованы (один из вариантов):

- оборудованием с использованием средств криптографической защиты информации (СКЗИ), имеющее подтверждение соответствия требованиям по безопасности информации класса КС3, то есть российским требованиям (далее - случай 1);

- оборудованием, соответствующим российским, а также международным требованиям (стандарт 3GPP) (далее - случай 2).

В отношении предлагаемого регулирования можно отметить следующие риски.

1. В случае 1 для обеспечения безопасности информации и возможности использования сети 5G необходима установка на базовые станции аналогичного ответного оборудования. В этом случае работоспособность оборудования в сети 5G может быть достигнута только при установке российского оборудования с использованием российских программ шифрования на обоих устройствах. Таким образом, оконечное абонентское оборудование, произведенное за рубежом, не сможет использовать сети 5G в случае использования производителями этих устройств оборудования, удовлетворяющего международным требованиям.

В настоящее время защита абонентского и сигнального трафика в радиоканале между абонентским терминалом и базовой станцией, а также в канале связи между базовой станцией и оборудованием опорной сети (ядром сети) выполняется с использованием международных алгоритмов шифрования, рекомендованных 3GPP и реализованных зарубежными производителями в поставляемом в Россию оборудовании связи.

Однако сетью 5G на территории Российской Федерации смогут пользоваться только владельцы устройств, производители которых согласятся устанавливать на свои устройства российские средства криптографической защиты, а также российские криптографические алгоритмы.

Учитывая вышеизложенное, отмечаем, что оснащение базовых станций СКЗИ, имеющими подтверждение соответствия требованиям по безопасности информации класса КС3, неактуально без установки подобного оборудования в оконечных устройствах.

Также отмечаем, что одновременно для подготовки заключения об оценке регулирующего воздействия в Минэкономразвития России поступил проект приказа Минкомсвязи России "Об утверждении Правил применения базовых станций сетей подвижной радиотелефонной связи. Часть VII. Правила применения базовых станций сетей подвижной радиотелефонной связи стандарта 5G технологии NR" (ID проекта: 02/08/10-19/00096341), предполагающий установку оборудования на базовые станции с использованием средств криптографической защиты информации (далее - СКЗИ), имеющее подтверждение соответствия требованиям по безопасности информации класса КС3 (далее - проект приказа).

В этой связи отмечаем, что риски установки предлагаемого оборудования на базовые станции в целом аналогичны рискам, отмеченным в настоящем заключении, и более подробно раскрыты в заключении об оценке регулирующего воздействия на соответствующий проект приказа.

При этом следует учитывать, например, что по информации, представленной субъектами предпринимательской деятельности в открытых источниках, российский рынок смартфонов может оцениваться порядка 1,7% от общемирового. Учитывая вышеизложенное, разработка и производство оконечного оборудования в целях приведения его в соответствие с требованиями российского законодательства дополнительно удорожит их производство, что может оказаться экономически неоправданным и/или нерентабельным.

2. Зарубежные производители в целях минимизации затрат при серийном производстве могут выбрать случай 2. Однако, учитывая отсутствие информации о производимых абонентских терминалах и микросхем, их производителях, в том числе как зарубежных, так и российских в прилагаемых документах, не представляется возможным спрогнозировать поведение зарубежных производителей в случае принятия предлагаемого регулирования.

Кроме того, защита абонентского и сигнального трафика в радиоканале между абонентским терминалом и базовой станцией обеспечивается, как правило встроенным программным обеспечением (прошивкой), в том числе хранящимся непосредственно в процессоре в составе абонентского терминала или базовых станций. Такое программное обеспечение формируется производителем и не может быть изменено или дополнено, в том числе производителями абонентских терминалов или базовых станций.

По информации, представленной субъектами предпринимательской деятельности, в настоящее время микросхемы для абонентских терминалов выпускаются ограниченным количеством организаций, преимущественно зарубежных. При этом в целях реализации предлагаемого регулирования использующие эти микросхемы производители абонентских терминалов могут быть допущены к использованию сети 5G в России только в случае внедрения в микросхемы российской криптозащиты.

В этой связи представляется необходимым учитывать риск отказа зарубежных производителей микросхем для их использования в абонентских терминалах, что способно привести к резкому сокращению номенклатуры или полной невозможности использования такого оборудования на российском рынке.

3. Проектом акта предлагается наделить ФСБ России полномочиями по утверждению требований по безопасности информации класса КС3, в том числе в отношении абонентских терминалов. При разработке требований об установке российских СКЗИ следует учитывать существующие возможности российского производства элементной базы для абонентских терминалов, используемых на территории Российской Федерации.

Учитывая непредставление разработчиком в пояснительных материалах конкретных механизмов внедрения предлагаемого регулирования, отсутствие конкретных требований в настоящее время не позволяет сделать вывод о наличии или об отсутствии продукции, удовлетворяющей требованиям на рынке.

Вместе с тем в соответствии с пунктом 1 постановления Правительства Российской Федерации от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" средства защиты информации подлежат обязательной сертификации, при этом криптографические (шифровальные) средства должны быть отечественного производства

и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.

При этом субъекты предпринимательской деятельности отмечают отсутствие российских средств криптографической защиты сетевого и абонентского оборудования 5G. То есть для разработки указанного оборудования может потребоваться продолжительное время.

Более того, оборудование с установленными СКЗИ должно проходить процедуру подтверждения соответствия. Для реализации указанного требования необходимо получение лицензии, аккредитации испытательных лабораторий и органов по сертификации, время на прохождение сертификации.

При этом проектом акта предусмотрен переходный период в 180 дней, что представляется недостаточным для реализации всех вышеуказанных мероприятий. В этой связи необходимо предусмотреть переходный период по пункту 19 проекта акта, исходя из производственных возможностей российских предприятий, а также сроков проведения оценки соответствия.

4. Разработчиком в пояснительных материалах не проанализированы затраты на выполнение проектируемых требований. Учитывая отсутствие необходимого оборудования на рынке, в целях оценки последствий предлагаемого регулирования можно воспользоваться аналогичными примерами, например, установкой СКЗИ на тахографы. Можно предположить, что стоимость установки российского СКЗИ в абонентские станции может быть оценена в размере не менее стоимости СКЗИ для тахографов.

В соответствии с требованиями ФСБ России блок СКЗИ для тахографа подлежит замене каждые 3 года. При этом по информации, представленной ФСБ России, срок в 3 года устанавливается в связи с тем, что только в течение такого срока алгоритм криптографической защиты не может быть раскрыт (скомпрометирован).

При допущении, что издержки на переоснащение блока СКЗИ с учетом работ составляют порядка 20 тыс. рублей, количество проданных за 1 год смартфонов находится примерно на отметке 30 млн. единиц, а срок эксплуатации смартфонов зачастую составляет 3 и более года, можно прогнозировать следующее:

во-первых, в случае 1 оборудование в сети 5G будет использоваться не в течение всего срока его полезного использования, а только в тот срок, при котором СКЗИ не будут считаться скомпрометированными (например, по сроку - 3 года). При этом продолжение работы оборудование в сети 5G более указанного срока без замены СКЗИ фактически нивелирует эффективность предлагаемого регулирования;

во-вторых, исходя из допущений, приведенных выше, дополнительные затраты в случае замены СКЗИ для производителей абонентских терминалов, а, следовательно, и их покупателей, могут быть оценены в сумму порядка 1,8 трлн руб. каждые 3 года.

Учитывая, что в настоящее время стоимость, например, смартфонов начинается с 1 300 рублей, затраты на их переоснащение СКЗИ представляются чрезмерными.

Кроме того, затруднительность замены СКЗИ в пользовательских устройствах способна привести к необходимости приобретать такое устройство каждые 3 года, что приведет к дополнительным издержкам пользователей абонентских терминалов на их замену.

В целом, значительное увеличение стоимости сетевого и абонентского оборудования в связи с включением затрат на СКЗИ может привести к нерентабельности внедрения стандарта 5G и негативно повлиять на развитие инфраструктуры 5G в Российской Федерации.

5. В соответствии с Положением о порядке ввоза на таможенную территорию Евразийского экономического союза и вывоза с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств, утвержденного Решением Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30 "О нормативных правовых актах в области нетарифного регулирования", ввоз шифровальных (криптографических) средств на таможенную территорию Евразийского экономического союза и (или) их вывоз осуществляются при наличии сведений о включении соответствующей нотификации в единый реестр нотификаций либо при наличии лицензии или заключения (разрешительного документа).

Таким образом, для обеспечения требований, устанавливаемых пунктом 19 проекта акта, производство базовых станций (их компонентов, на которые должны быть установлены российские СКЗИ) производитель абонентских терминалов (микросхем) и их покупатели (пользователи абонентских терминалов), в том числе в личных целях должны осуществлять мероприятия, направленные на реализацию вышеуказанных разрешительных режимов.

Более того, в случае вывоза пользовательского устройства за границу физические и юридические лица также вынуждены будут выполнять вышеуказанные мероприятия либо оставлять абонентские устройства на таможенной территории Евразийского экономического союза на время поездки, что будет сопряжено с дополнительными издержками пользователей устройствами, связанными с покупкой нового абонентского терминала, изготовленного по международным стандартам.

6. Разработчиком в качестве проблемы, на решение которой направлено предлагаемое регулирование, указано на отсутствие обязательных требований к абонентским терминалам сетей подвижной радиотелефонной связи стандарта 5G технологии NR. При этом негативным эффектом в связи с отсутствием указанных требований отмечается нарушение устойчивой связи. Учитывая отсутствие анализа статистических данных и материалов правоприменительной практики реализации предлагаемых требований, а также данных, подтверждающих причины нарушения связи в связи с отсутствием российских СКЗИ, представленные материалы не позволяют сделать вывод о необходимости предлагаемого регулирования, в частности пункта 19 проекта акта.

Вместе с тем в соответствии с пунктом 3.4.2 Методики оценки регулирующего воздействия, утвержденной приказом Минэкономразвития России от 27 мая 2013 г. N 290, формулирование разработчиком проблемы должно основываться на использовании категории издержек (в том числе убытков в виде реального ущерба и упущенной выгоды), возникающих у участников соответствующих общественных отношений вследствие ее существования.

При этом при целеполагании следует соотносить возможные выгоды от предлагаемого регулирования с планируемыми затратами на его реализацию.

7. В соответствии с пунктом 7 Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации (далее - ФАПСИ) от 13 июня 2001 г. N 152, СКЗИ и документация к ним подлежат поэкземплярному учету. При этом указанную функцию осуществляет орган криптографической защиты, которым может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Таким образом, производителю, продавцу абонентских терминалов может потребоваться получение лицензий ФСБ России либо необходимо заключить договор с организацией, которая будет осуществлять такой поэкземплярный учет, для осуществления продаж на территории Российской Федерации. Указанное также способно затруднить осуществления продаж абонентских терминалов на территории Российской Федерации.

На основании вышеизложенного представляется, что требования, отраженные в пункте 19 проекта акта, могут являться экономически необоснованными, а также способны нарушить реализацию планов по развитию сетей 5G в Российской Федерации.

По результатам оценки регулирующего воздействия Минэкономразвития России может быть сделан вывод о том, что:

- наличие проблемы и целесообразность ее решения с помощью регулирования, предусмотренного проектом акта, не обоснованы;

- в проекте акта выявлены положения, которые вводят избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствуют их введению, а также способствуют возникновению необоснованных расходов субъектов предпринимательской и иной деятельности или способствуют возникновению необоснованных расходов бюджетов всех уровней бюджетной системы Российской Федерации.

Приложение: на 2 стр. в 1 экз.