Леонид Черняк
Российские законодатели в лице депутатов О. А. Финько (ЛДПР), Г. К. Волкова (НДР) и С. Н. Решульского (КПРФ), являющихся руководителями Комитета Государственной Думы по информационной политике и связи, включились в решение проблемы 2000 года. Они подготовили проект федерального закона “О предотвращении сбоя компьютерных систем и его негативных последствий в связи с наступлением 2000 года”. Идея бесспорно неплохая, но, прямо скажем, несколько запоздалая, потому что, по самым оптимистическим прогнозам, этот закон может быть принят и подписан Президентом РФ не ранее чем в начале лета, а потом будет период отпусков, а там и Новый год.
Знакомство с текстом законопроекта вызывает двойственное чувство. Понятно, что нужен какой-то государственный нормативный акт, легализующий действия в этой области. Но изменит ли принятый закон что-либо в отношении общества к П2000? Хотелось бы, чтобы он помог избавиться от одного распространенного предрассудка: ведь не секрет, что П2000 нередко воспринимается не как реальная общественно значимая проблема, а как происки компьютерных компаний в стремлении получить дополнительную прибыль.
Еще одно важное обстоятельство. В законопроекте устанавливается ответственность должностных лиц за решение проблемы 2000 года. Если до сих пор звучали только общие слова о том, что руководители предприятий понесут наказание за возможный ущерб из-за неподготовленности к ее решению, то теперь в проекте конкретно расписано, кто, за что и чем отвечает.
Об этом очень доходчиво написано в пояснительной записке, поэтому позволим себе выборочное цитирование тех частей документа, где рассматриваются вопросы распределения ответственности.
“Целью настоящего законопроекта являются установление требований к собственникам и владельцам компьютерных систем*, чувствительных к “Проблеме-2000”, для предотвращения ее негативных проявлений, а также установление ответственности за нарушение правовых норм, содержащихся в настоящем законопроекте. Законопроект регулирует отношения, возникающие с участием органов государственной власти и органов местного самоуправления Российской Федерации, физических и юридических лиц, находящихся на территории Российской Федерации, при функционировании компьютерных государственных систем.
Законопроект требует выполнения конкретных действий со стороны органов исполнительной власти Российской Федерации, субъектов Российской Федерации, органов местного самоуправления, собственников и владельцев компьютерных систем, чувствительных к проявлению "Проблемы-2000", направленных на снижение риска проявления "Проблемы-2000", а также на снижение размеров ущерба и потерь в случае подобного проявления.
"Проблема-2000" является рукотворной и не может рассматриваться при разрешении возможных различных конфликтов, в том числе при судебных разбирательствах, как явление непреодолимой силы”.
Общая, или организационная, если так можно сказать, часть закона (главы 1 - 4, 6, 8 и 9) не вызывает никаких сомнений, во всяком случае с технической точки зрения. Однако как только мы обращаемся к части, непосредственно связанной с информационными системами и практикой компьютерного бизнеса, сразу возникает ряд вопросов. Спорные места в основном касаются сертификации компьютерных систем, налогообложения и таможенных сборов.
Пытаясь понять точку зрения авторов на эти вопросы, я провел несколько очных и телефонных бесед с участниками разработки законопроекта - советником аппарата Думы по информационной политике и связи Б. В. Кристальным и консультантом того же органа Ю. В. Травкиным. Признаюсь: взаимопонимания мы не нашли. У меня сложилось впечатление, что мы сосуществуем в параллельных пространствах, я честно хотел понять их аргументацию, но не мог. На мой взгляд, да простят меня авторы, они живут в неком виртуальном мире, и если мир реальный отличается от него, то это, по мнению разработчиков проекта, проблема его обитателей.
Сейчас с подачи известного олигарха стало крылатым такое выражение: “Жить по законам или по понятиям”. Увы, если закон не соответствует реалиям жизни, то приходится существовать “по понятиям”, иначе трудно выжить. Сколько километров вы сможете проехать по Москве до первого инцидента, если будете строго придерживаться правил дорожного движения? Жизнь “по понятиям” нам, к сожалению, навязана несовершенством законов.
Однако в чем же наши разногласия? Приведу текст из главы 5.
“1. Компьютерные системы, предназначенные для обслуживания органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, физических и юридических лиц, подлежат сертификации на соответствие их программных средств и программно-технических комплексов требованиям устранения опасности проявления "Проблемы-2000".
2. Не допускается эксплуатация несертифицированных компьютерных систем:
- обслуживающих деятельность органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов и органов местного самоуправления;
- обслуживающих системы обороны и правопорядка, денежного и финансового обращения, транспортные системы, системы связи, энергетические системы и другие системы, влияющие на безопасность личности, общества и государства.
3. Сертификация программных средств и программно-технических комплексов в действующих компьютерных системах, а также программных средств и программно-технических комплексов, вновь включаемых в компьютерные системы, подтверждается декларацией о соответствии, выдаваемой изготовителями (продавцами) указанных программных средств и программно-технических комплексов.
Декларации о соответствии учитываются в органе по сертификации согласно Закону Российской Федерации “О сертификации продукции и услуг”.
4. Порядок отнесения компьютерных систем к разряду сертифицируемых определяется Правительством Российской Федерации”.
Здравая и, казалось бы, разумная мысль: сертифицируем все системы - и баста. Увы, корректность использования терминов “сертификация” и “сертифицированные системы” в данном случае вызывает глубокое сомнение.
Сертификат подразумевает, что качество продукта или услуги подтверждается уполномоченным на то учреждением. Можно ли говорить о сертификации больших информационных систем? Нет, ни одна КИС в силу ее сложности не может быть сертифицирована с точки зрения готовности к 2000 году как единое законченное изделие. Нельзя даже представить существование соответствующих сертификационных органов.
Не секрет, что все без исключения центры компетенции по П2000 старательно подчеркивают: они не выдают никаких общих гарантий на полную совместимость с 2000 годом комплексных систем, в модернизации которых участвуют. Из личного опыта могу сказать, что чем компетентнее центр, тем осторожнее он в своих обещаниях. Почему же авторы закона говорят о сертификации, если нет и не может быть сертифицирующей организации? Оказывается, есть обходной путь, они апеллируют к п. 4 Дополнения к закону “О сертификации продуктов и услуг”, который гласит:
“Подтверждение соответствия может также проводиться посредством принятия изготовителем (продавцом, исполнителем) декларации о соответствии.
Декларация о соответствии является документом, в котором изготовитель (продавец, исполнитель) удостоверяет, что поставляемая (продаваемая) им продукция соответствует установленным требованиям. Перечни продукции, соответствие которой может быть подтверждено декларацией о соответствии, требования к декларации о соответствии и порядок ее принятия утверждаются Правительством Российской Федерации.
Декларация о соответствии, принятая в установленном порядке, регистрируется в органе по сертификации и имеет юридическую силу наравне с сертификатом”.
Все просто: вы декларируете свою готовность и на этом основании получаете сертификат. Пожалуй, иногда декларативная самосертификация и оправданна, например для простых и не слишком ответственных изделий. Но разве можно распространить подобное требование на сложные информационные системы? Если такой подход будет принят, то, скорее всего, либо никто не станет сам себя сертифицировать, либо, наоборот, начнется повальное самосертифицирование - и тогда все сведется к профанации, к формальному подписанию бумаг, примерно так, как мы не глядя подписываем инструкции по технике безопасности.
Однако авторов такая ситуация ничуть не заботит, в своих объяснениях они обходят данное противоречие с легкостью. Оказывается, в п. 4 главы 5 сказано: “Порядок отнесения компьютерных систем к разряду сертифицируемых определяется Правительством Российской Федерации”. Законодатель подает непродуманную идею, а реализовать ее предлагает правительству. Кто и как в правительстве сможет выполнить подобное?
Еще одно сомнительное предложение: закон на период до 31 декабря 1999 г. включительно освобождает от налогообложения, таможенных и иных сборов производство и ввоз всех видов программного и аппаратного обеспечения, а также работы и услуги, направленные на решение П2000.
Теоретически тоже неплохая мысль, но к чему она может привести?
К счастью, авторы проекта закона “О предотвращении сбоя компьютерных систем и его негативных последствий в связи с наступлением 2000 года” готовы обсуждать его в Интернете (http://www.algo.ru/law2000). Это честное решение, и его можно только приветствовать. Срок начала обсуждения, правда, был перенесен с 8-го на 15 апреля, но, надеемся, оно все же состоится.
