MAX и 187-ФЗ: что ответило Минцифры, прокуратура и какие вопросы остались

Продолжение инженерного аудита мессенджера, интегрированного с Госуслугами. Ответ ведомства получен — но технические вопросы открыты

В предыдущей публикации я описал результаты юридического аудита мессенджера MAX: микропредприятие с 2 сотрудниками, директор с признаками массового руководства, вопросы к использованию термина «национальный». Был направлен запрос в Генеральную прокуратуру.

Прошёл месяц. Система отреагировала. Рассказываю, что произошло и какие вопросы теперь в фокусе.

Генеральная прокуратура перенаправила запрос в два ведомства:

1. Минцифры России — как регулятору отрасли

2. Прокуратура г. Москвы — по месту нахождения юрлица

Это важный результат. Вопрос вышел из «серой зоны» пользовательских соглашений в официальное правовое поле.

Минцифры подтвердило:

• ООО «Коммуникационная платформа» назначено оператором MAX в соответствии с 156-ФЗ и Распоряжением Правительства № 1880-р

• Использование мессенджера «полностью добровольное»

• Сервис соответствует «строгим требованиям безопасности»

Формальный контур замкнут. Юрисдикция определена. Де-юре вопросов нет.

Ответ ведомства фиксирует правовой статус, но оставляет за скобками инженерные вопросы. А именно:

156-ФЗ регулирует гражданский слой — массовую цифровизацию, «удобство». Но когда MAX становится де-факто условием доступа к Госуслугам, включаются требования 187-ФЗ о безопасности критической информационной инфраструктуры (КИИ).

Это разные уровни: General Purpose vs Mission Critical. Ни 156-ФЗ, ни распоряжение Правительства не освобождают от требований ФСТЭК к объектам КИИ.

Вопрос: проведена ли полная сертификация MAX по приказам ФСТЭК № 239 и № 235?

Оператор — микропредприятие с 2 сотрудниками. Директор руководит 10+ юрлицами одновременно.

Вопрос: какие SLA (соглашения об уровне обслуживания) действуют для интеграции с Госуслугами? Как обеспечивается масштабирование при нагрузке?

«Строгие требования» — это декларация. В инженерной практике доверие строится на сертификатах и результатах аудита.

Вопрос: проводился ли независимый аудит безопасности? Кем? Опубликованы ли результаты?

MAX интегрирован с ЕСИА. Это означает обработку данных федерального масштаба.

Вопросы: где физически хранятся данные? Какова схема резервирования? Какие сторонние SDK используются и куда передают информацию?

В публичном пространстве озвучиваются цифры: 75 млн пользователей MAX. Но как считаются эти пользователи?

Человек, которого «рекомендовали» установить приложение на работе или в школе, учитывается как активный пользователь. Отчётность растёт. Показатели оправдывают инвестиции. Но органическое доверие и административный охват — разные вещи.

Доверие — это актив. Его потеря может быть необратимой.

Минцифры официально подтвердило: использование MAX добровольное. Если на работе или в учебном заведении вам «настоятельно рекомендуют» установить приложение — это не требование.

Ваши права:

• Ст. 22 ТК РФ: работодатель обязан обеспечить оборудование для работы

• Ст. 188 ТК РФ: использование личного имущества требует письменного соглашения о компенсации

• Ст. 192 ТК РФ: взыскание возможно только за неисполнение обязанностей из трудового договора

Если нет письменного приказа со ссылкой на закон — это пожелание, а не требование.

Формируется пакет запросов по техническим регламентам:

• Статус сертификации по требованиям ФСТЭК (приказы № 239, № 235)

• Результаты независимого аудита безопасности

• Регламенты SLA для интеграции с госсервисами

• Перечень сторонних SDK и политика передачи данных

Цель — не "борьба" с MAXом. Цель — получить публичные ответы на вопросы, которые обязаны быть открытыми для любой системы, работающей с критической инфраструктурой.

Ответ Минцифры закрыл вопрос де-юре статуса. Но перевёл дискуссию на следующий уровень: от «законно ли это?» к «устойчива ли система?».

Безопасность критической инфраструктуры определяется не декларациями, а протоколами. Пока протоколы не опубликованы — доверие остаётся вопросом веры.

Продолжаем работу в правовом поле. Буду держать в курсе.

---

Предыдущая статья: «Мессенджер MAX: от аудита до запроса в Генпрокуратуру»

Об авторе: Александр Фищук — адвокат, специалист по защите бизнеса и критической инфраструктуре. 17 лет практики на стыке права, финансов и технологий.

Telegram канал "Юридическая Инженерия" (где размещены все официальные ответы): t.me/fishchuk_pravo