Правительство рассматривает возможность законодательно закрепить обязательство операторов персональных данных использовать только отечественное программное обеспечение (ПО), включая системы управления базами данных. Участники рынка указывают на необходимость учитывать готовность инфраструктуры операторов и их специфику, но отмечают, что open source решения могут быть выходом для полноценного перехода.
“Ъ” ознакомился с перечнем поручений председателя правительства Михаила Мишустина, составленным по итогам X конференции «Цифровая индустрия промышленной России» в начале июля. Большинство из 15 предписаний было направлено главе Минцифры РФ Максуту Шадаеву. Среди прочего Михаил Мишустин поручил Минцифры, ФСБ и ФСТЭК «проработать вопрос внесения изменений в законодательство РФ, устанавливающих обязанность операторов персональных данных использовать для обработки и хранения данных граждан исключительно российское ПО, в том числе системы управления базами данных (СУБД)». Подготовить предложения по поправкам поручено до 1 декабря 2025 года, переходный период меры ограничен 1 сентября 2027 года.
На запрос “Ъ” в пресс-службе Минцифры ответили, что «обсудят подходы к реализации с отраслью и заинтересованными ведомствами». В пресс-службе профильного вице-премьера Дмитрия Григоренко также отметили, что прорабатывается «механика поэтапного перехода» компаний на российские решения для анализа и обработки персональных данных, а также СУБД.
«Предполагается, что операторы смогут выбрать для использования любое подходящее решение, включенное в реестр отечественного ПО, который на данный момент содержит тысячи разработок различных классов»,— добавили в аппарате.
Успех полного перехода на отечественное ПО будет зависеть от конкретных требований, которые попадут в нормативно-правовые акты, отмечает руководитель направления консалтинга и аудита ИБ компании Step Logic Алена Игнатьева. Полный переход на отечественные СУБД к 1 сентября 2027 года маловероятен, считает директор направления «Информационная безопасность» компании «Рексофт» Сергей Бабкин. Он связывает это с тем, что за десятилетия во многих крупных организациях применение западных СУБД тесно интегрировалось с их бизнес-процессами, то есть вопрос перехода стоит гораздо шире, чем просто перенос данных. «Необходимо адаптировать и прикладные системы, которые оказывают влияние на процессы компаний»,— объясняет он.
Так как под действие инициативы попадают все операторы персональных данных (юридические лица, государственные и муниципальные органы), необходимо учитывать их различия в объеме обрабатываемых данных, отмечают в пресс-службе Ассоциации больших данных (объединяет «Сбер», «Яндекс», VK и др.). Полный переход потребует детальной его проработки с точки зрения готовности инфраструктуры, финансовых и организационных издержек, сроков, а также разработки подходов к категорированию самих операторов и поэтапному внедрению требований, добавляют в ассоциации. При этом «эффективным инструментом могут стать open source решения, сопровождаемые и поддерживаемые в России», отмечают в пресс-службе.
Использование полноценных ответвлений open source решений позволит реализовать переход до 1 сентября 2027 года, считает гендиректор НЦК ИСУ Кирилл Семион. Вендор в таком случае отвечает за весь код и может пройти все необходимые проверки. Есть open source решения с отечественными корнями и имеющие сертификат ФСТЭК, отмечает менеджер по продукту NGR Softlab Николай Перетягин: «Безусловно, всем бы было легче, если бы либо разработчики СУБД сертифицировали свои продукты, либо же регулятор создал единый реестр дистрибутивов сертифицированного ПО (включая библиотеки и другие зависимые компоненты), которыми могли бы пользоваться все, кому необходимо обеспечить защиту персональных данных».
Комментарии
Подарок богов не иначе. Глядишь меньше будет сбора персданных от каждой хрени, сливающей базы в режиме онлайн
А что, отечественные СБУД нельзя слить?
Хорошего в этой новости то, что возможно будет расти рынок отечественных "клонов" ипортного ПО и, возможно, когда-нибудь какой-то из этих клонов станет годной независимой реализацие со своими плюшками. Или получится очередной АвтоВАЗ...
Так то отечественные решения и без этого закона появились. Не знаю, правда, кто владеет авторскими правами на тарантул или кликхауз - российский яндекс или голландский, но это решения вполне себе мирового уровня в своих нишах и созданы в РФ. В общем, не факт, что таким искусственным образом можно что-то реально простимулировать - кто хотел и так всё создал.
Вы не в ту сторону посмотрели. Если появится такое требование, 100% мгновенно по щелчку перейдут? Или хренова туча махнут рукой и не станут шевелиться. Что в итоге приведёт их к либо уходу с рынка (в широком смысле), либо к отказу от сбора персданных.
Лично мне хорошо в любом из этих двух случаев. Про качество нашего по я вообще ничего не говорю.
Ну вы походу, не в курсе, что считается перс данными. Например, фио директора в вашем договоре на бумаге, в двух экземплярах - это тоже перс данные. И вы оператор. Все фирмы и ип оперативно регились в ркн весь май.
Дорого! Отечественной инфраструктуры нет! Строить её для себя, чтобы потом сливать - это надо быть каким милионером-мазохистом...
Обяжут сливать только отечественным спамерам и кол-центрам, так что всё под контролем будет.
Дело хорошее, но что-то подсказывает, что будет сценарий "нет, сынок, это значит, что ты будешь меньше кушать"
БД и есть БД, хоть сертифицированная, хоть нет. Сливаются данные из нее одинаково. Зато, когда владельца системы заставят платить за бесплатный продукт, у него может резонно возникнуть желание как-то эти затраты окупить.
Есть вероятность, пусть и небольшая, что разработчиков отечественных защищенных БД обяжут встроить механизмы, усложняющие процесс слива. Не панацея, но часть желающих отсечет, части оставшихся усложнит процесс слива.
Это как - усложняющие? Вот я разработчик, я, при обращении к БД могу написать что-то вроде SELECT * FROM users; и делать с результатами что захочу. Расскажите про механизмы, которые этому могут помешать, и сможет ли с ними работать существующий софт.
Самый простой вариант - не выдавать в ответ на запросы пользователям куски критичных таблиц - либо отдельные записи под протокол с дикими задержками, либо готовую аналитику, просчитывая ее на стороне БД.
Как самая идиотская и малореализуемая идея сгодится?
Хотя исполнители практически любую идею могут запороть... те же операционистки в банке, что подтверждают друг-другу операции, не читая их, идею двойного контроля пустили по ветру.
Точно надо? Большая часть попыток улучшения существующего упирается в отсутствие совместимости со старыми решениями... чаще всего улучшение либо отбрасывается, либо корежится для совместимости. Потом костыль на костыль и в итоге хвостик.
А, например, отдел кадров, который использует 1С ЗУП в связке с MS SQL и Windows Server - это оператор персональных данных?
Любое хранение и обработка любой информации о людях в любой информационной системе - является обработкой персональных данных. В законе есть исключения разве что для записных книжек в личных устройствах.
Значит кому-то очень повезло. Грядёт обновление архитектуры 1С ЗУП по всей стране. Денег причастные поднимут немерено.
Вроде как 1С уже давно способна на линухах работать. В том числе - на православных.
Способна, это да. Но представляете, сколько ещё 1С крутится под виндой и MS SQL. Кроме того, там же ещё лицензионные ключи есть, которые скорее всего не подходят от разных версий. В общем, это колоссальная работа предстоит.
То есть народ за 11 лет - даже не пошевелился ни разу? Ну, сами себе - злобные буратины, чо?
А чего шевелиться то? ПО куплено, внедрено, работает. Никто не говорил, что иностранное ПО запрещено. Кому была критична платная поддержка или нужно было докупать лицензии, которые в РФ недоступны, наверное, уже обратились в сторону отечественных разработчиков. Перенос работающей 1С даже в небольшой конторе в сотню сотрудников на другую платформу - это очень затратное и, главное, сложное мероприятие с непредсказуемым результатом. Никто таким без веских причин заниматься не станет.
Да потому что даже сраный MAX, внезапно, есть только для иностранных мобильных систем. А для кошерной Авроры - ни хрена. Бггггггг
Думается - тут такое дело (прописанное во многих документах): все продукты делаются с перспективой вывода на "международные рынки". Ну а там - сами понимаете - всё "стабильно". Вот наши создатели - и ориентируются в первую очередь на эту самую "стабильность". Исключительно ИМХО.
Подходят. И миграция с Win+MS SQL на Linux + Postgres (оба есть отечественные бесплатные) - дело одного дня.
Поддержу мнение.
Особых проблем - вроде как - не увидели.
А гугл с микрософтом теперь тоже будет обязаны использовать отечественное ПО?
Отдел кадров - по определению оператор персональных данных, вне зависимости от ПО.
152-ФЗ учите, а не задавайте идиотские вопросы.
Сотрудники отделов кадров головой отвечают за слив!
То, что вчера было можно, теперь нельзя, не важно, что работает уже не один год и друг друга знаем. В случае косяка сразу за ворота могут выгнать! На госпредприятиях теперь так!
Вот не понятно, как доказать, что слив слился из конкретного ОК
Оператором ПДн является юрлицо. Любая фирма является оператором для своих работников.
Наконец таки.
Вот и утильсбор подъехал :)
Фьють-ха!
> При этом «эффективным инструментом могут стать open source решения, сопровождаемые и поддерживаемые в России»
У нас PostgreSQL, как я понимаю, у которой особых проблем с безопасностью нет.
Придётся ставить отечественную PostgresPro
А в чем разница?
В наличии у последней сертификата ФСТЭК
PostgreSQL сам по себе не является отечественным ПО. Отечественным ПО являются только форки PostgreSQL, занесенные в реестр отечественного ПО.
Опен Сорс, это по определению ты можешь скачать исходники, провести аудит, скомпилировать и т.д.
Чем это с точки зрения безопасности отличается от того, писал ты исходники сам, или взял в общедоступном месте?
Вопрос не ко мне, а к законодателям. Впрочем, что именно будет в конечном законе, пока неизвестно.
Там вообще вопрос в другом.
А именно -- на какие АДРЕСА отправляются данные и ГДЕ географически они хранятся.
Сичош фишкан?
Если ты используешь ПО из перечня Минцифры, но отливаешь на сервера в ЕС -- тебе прилетит волшебный пендель.
Типа -- а покажи ка адреса.
Скрыл -- поймали -- секирбашка.
А так -- хоть Гугелом пользуйся, если все данные хранятся на серверах Яндекса в Москве и никуда не текут.
Просто это сплошной гемор -- аудитить каждое обновление. Нахрен никому не впёрлось, поэтому -- шлюз закрыли кхренам и всё.
общедоступное место, расположенное вне РФ, может вдруг стать недоступным - был уже такой случай.
Придется переходить на Postgres Pro.
Возможно, когда пинками всех загонят на отечественное ПО, разработчики его таки будут вынуждены сделать его нормальным.
С другой стороны, пример ВАЗа торчит перед глазами много лет.
какой тупой наброс...
Всё ровно наоборот
Никогда.
Производитель-монополист это как кувшин компрачикоса. Под него подстроится потребитель.
Если, конечно, крупный заказчик не обладает таким весом, чтобы просто перетереть с директором производителя и реально заставить его делать хорошо, пока он с поста не слетел.
Это же все уже было при союзе.
С некоторых пор замечаю, приобновлениях Fedora Linux многие сторонние репозитории недоступны. Приходится через VPN обновлять. Понятно, что всё равно пролезет, прикрыть такое чрезвычайно сложно, но тоже звоночек. Ставлю на рабочую машину RedOS, а федору, видимо, фтопку. Только дома останется. Да и то, стоит подумать...
Можно все и самим сделать. Но для этого в компании разработка должна вестись по ГОСТам.
Должен проводится статический анализ кода, файзинг и т.д. С регламентами, отчетами и прочим.
Вряд ли среднестатистическая компания сможет предоставить такие отчеты аудиторам. Например, провести анализ исходников с точки зрения уязвимостей на какой-нибудь опенсорс проект задача не тривиальная.
Такое под силу только крупным разработчикам ПО.
А что, анализировать код обязательно самому? Нанял известную контору с репутацией...
Другой вопрос, что дешевле процесс от этого не станет.
Аудит будет еще дороже, чем постгрю про покупать. Да еще придется этих аудиторов на каждое обновление оплачивать.
Факт
А также версии PostgreSQL в составе тех линуксов, которые занесены в реестр отечественного ПО.
Страницы