Переход кода
Операторов персональных данных обяжут использовать только отечественное ПО
Правительство рассматривает возможность законодательно закрепить обязательство операторов персональных данных использовать только отечественное программное обеспечение (ПО), включая системы управления базами данных. Участники рынка указывают на необходимость учитывать готовность инфраструктуры операторов и их специфику, но отмечают, что open source решения могут быть выходом для полноценного перехода.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
“Ъ” ознакомился с перечнем поручений председателя правительства Михаила Мишустина, составленным по итогам X конференции «Цифровая индустрия промышленной России» в начале июля. Большинство из 15 предписаний было направлено главе Минцифры РФ Максуту Шадаеву. Среди прочего Михаил Мишустин поручил Минцифры, ФСБ и ФСТЭК «проработать вопрос внесения изменений в законодательство РФ, устанавливающих обязанность операторов персональных данных использовать для обработки и хранения данных граждан исключительно российское ПО, в том числе системы управления базами данных (СУБД)». Подготовить предложения по поправкам поручено до 1 декабря 2025 года, переходный период меры ограничен 1 сентября 2027 года.
На запрос “Ъ” в пресс-службе Минцифры ответили, что «обсудят подходы к реализации с отраслью и заинтересованными ведомствами». В пресс-службе профильного вице-премьера Дмитрия Григоренко также отметили, что прорабатывается «механика поэтапного перехода» компаний на российские решения для анализа и обработки персональных данных, а также СУБД.
«Предполагается, что операторы смогут выбрать для использования любое подходящее решение, включенное в реестр отечественного ПО, который на данный момент содержит тысячи разработок различных классов»,— добавили в аппарате.
Успех полного перехода на отечественное ПО будет зависеть от конкретных требований, которые попадут в нормативно-правовые акты, отмечает руководитель направления консалтинга и аудита ИБ компании Step Logic Алена Игнатьева. Полный переход на отечественные СУБД к 1 сентября 2027 года маловероятен, считает директор направления «Информационная безопасность» компании «Рексофт» Сергей Бабкин. Он связывает это с тем, что за десятилетия во многих крупных организациях применение западных СУБД тесно интегрировалось с их бизнес-процессами, то есть вопрос перехода стоит гораздо шире, чем просто перенос данных. «Необходимо адаптировать и прикладные системы, которые оказывают влияние на процессы компаний»,— объясняет он.
Так как под действие инициативы попадают все операторы персональных данных (юридические лица, государственные и муниципальные органы), необходимо учитывать их различия в объеме обрабатываемых данных, отмечают в пресс-службе Ассоциации больших данных (объединяет «Сбер», «Яндекс», VK и др.). Полный переход потребует детальной его проработки с точки зрения готовности инфраструктуры, финансовых и организационных издержек, сроков, а также разработки подходов к категорированию самих операторов и поэтапному внедрению требований, добавляют в ассоциации. При этом «эффективным инструментом могут стать open source решения, сопровождаемые и поддерживаемые в России», отмечают в пресс-службе.
2,3 миллиона
операторов персональных данных зарегистрировано в профильном реестре Роскомнадзора на 7 июля 2025 года.
Использование полноценных ответвлений open source решений позволит реализовать переход до 1 сентября 2027 года, считает гендиректор НЦК ИСУ Кирилл Семион. Вендор в таком случае отвечает за весь код и может пройти все необходимые проверки. Есть open source решения с отечественными корнями и имеющие сертификат ФСТЭК, отмечает менеджер по продукту NGR Softlab Николай Перетягин: «Безусловно, всем бы было легче, если бы либо разработчики СУБД сертифицировали свои продукты, либо же регулятор создал единый реестр дистрибутивов сертифицированного ПО (включая библиотеки и другие зависимые компоненты), которыми могли бы пользоваться все, кому необходимо обеспечить защиту персональных данных».