Обеспечение безопасности критической информационной инфраструктуры (КИИ) является ключевой задачей, тесно связанной с технологической независимостью государства. Импортозамещение выступает одним из ключевых способов достижения такой независимости и напрямую влияет на деятельность множества организаций, экономику страны в целом, а также на защищенность КИИ. Но, как это часто бывает, новые требования (новые процессы) внедряются не всегда гладко. О том, что мешает импортозамещению объектов КИИ, поговорим в рамках данной статьи.
Кто должен заниматься импортозамещением КИИ?
На первый взгляд кажется, что импортозамещением должны заниматься все субъекты КИИ, но это не совсем так (см. таблицу):
Таким образом, все субъекты КИИ обязаны выполнить требования, перечисленные в пунктах 1 и 3 данной таблицы, а большая часть субъектов КИИ, еще и требования пункта 2 (не все субъекты КИИ являются «отдельными видами юридических лиц»).
Как выполнять требования по импортозамещению?
Алгоритм импортозамещения как для программного обеспечения (в т.ч. средств защиты), так и для программно-аппаратных комплексов (также могущих быть средствами защиты информации) одинаков и достаточно прост. Он включает всего 3 шага:
Шаг 1. Провести инвентаризацию используемых на объектах КИИ компонентов, требующих импортозамещения.
Шаг 2. Разработать и утвердить план перехода на доверенные компоненты.
Шаг 3. Реализовать «свой» план - осуществить переход в установленный срок (01.01.2025 года и 01.01.2030 года)
Вроде бы алгоритм прост, сроки вполне реальны (особенно 01.01.2030). Однако, на практике, в ходе его реализации возникает множество нюансов, препятствующих бесшовному и быстрому импортозамещению, а множество экспертов отрасли считают, что осуществить импортозамещение в указанные сроки не реально.
Что мешает (быстрому) импортозамещению на объектах КИИ?
- Ресурсы у всех и всегда ограничены. Бюджет и штатная численность персонала у всех субъектов КИИ ограничены. Бюджеты подразделений информационных технологий и безопасности (в т.ч. информационной) обычно находятся в интервале от 5 до 15 процентов бюджета организации (всех названных подразделений), что, естественно, не позволяет в сжатые сроки проводить замену всей (или большей части) информационной инфраструктуры, которая может насчитывать до нескольких тысяч объектов. Помимо фиксированного количества работников в штате, на текущий момент, есть еще проблема в квалификации. Так как, решения, идущие взамен зарубежным, являются новыми (по крайней мере для работников конкретного субъекта КИИ), на практике, практически у всех отсутствует необходимое количество персонала, способного внедрять и администрировать новые решения. При этом, вендоры (производители решений) и интеграторы (те, кто потенциально могут помочь с внедрением и эксплуатацией) находятся в такой же ситуации: в виду большого количества заказов они также ощущают нехватку специалистов и, как правило, не могут выделить нужный объем заказчику.
- Непрерывный цикл производства. Чтобы произвести замену компонентов на объекте КИИ, являющемся автоматизированной системой управления (технологическим или производственным процессом), а большинство значимых объектов КИИ относятся именно к этому виду, нужно эту систему временно вывести из этого самого технологического (производственного) процесса. Причем, если мы говорим о полной замене программного обеспечения или полной замене программно-аппаратных компонентов, то вывод объекта из технологического процесса может быть длительным. Помимо этого, т.н. «технологические окна» обычно редки (один раз в год), что не позволяет осуществлять процесс замены компонентов в краткосрочном периоде (до трех лет).
- Проблема амортизации. Оборудование и программное обеспечение (лицензии) имеют определенный временной срок использования, в связи с чем, на практике, сложно прекратить использование ранее закупленного и работоспособного оборудования и программного обеспечения, срок полезного использования которого не истек. Подобные действия, обычно, испытывают сопротивление как у владельцев деловых (технологических) процессов, так и у финансово-экономических блоков организаций, которые считают их финансовым нарушением.
- Отсутствие прикладного программного обеспечению способного работать с отечественными операционными системами. Ни для кого не секрет, что подавляющее большинство объектов информационной инфраструктуры в подавляющем большинстве организаций работает на операционной систем Windows. Замена, данной операционной системы на отечественную, практически всегда связана с необходимостью замены прикладного программного обеспечения. При это, прикладное программное обеспечение автоматизированных систем управления, практически всегда нуждается в отдельной специализированной разработке: нужно на заказ разрабатывать программное обеспечение под отечественную операционную систему, выполняющее необходимый функционал.
- Сложность замены встроенных средств защиты на наложенные в автоматизированных системах управления. Требование (см. таблицу) по прекращению использования зарубежных («недружественных») средств защиты информации, касается не только наложенных, но и встроенных средств. Отказ от встроенных средств защиты и замена на наложенные в автоматизированных системах управления – непростая задача. Основное правило применения наложенных средств защиты, существовавшее ранее, гласило: прежде чем применять наложенные средства защиты, необходимо заключение (согласование) от производителя (разработчика) автоматизированной системы управления. В сегодняшних реалиях получить такое заключение не всегда возможно, поэтому, для оценки возможности применения наложенных средств защиты необходимо самостоятельно (или с привлечением подрядчика) проводить такое тестирование. По сути данный факт, с учетом того, что требование касается всех объектов информационной инфраструктуры (а не только критических) делает невозможным реализацию данного требования в больших инфраструктурах (насчитывающих несколько тысяч объектов) в установленный срок (май 2022 – декабрь 2024).
- Длительный цикл внедрения – автоматизированные (информационные) системы, обычно при внедрении проходят несколько стадий (проектирование, внедрение, испытания, опытную эксплуатацию), которые могут занимать несколько лет. Кроме того, замена импортных решений на отечественные обычно связана с рядом трудностей: невозможно сразу подобрать по характеристикам необходимый заменитель, взять и заменить. Перед заменой обязательно необходимо проводить предварительное тестирование и апробацию решений для проверки соответствия требованиям к функциональности, надежности и безопасности этих решений (т.н. пилотные внедрения). В противном случае можно столкнуться с ситуацией, когда замещаемый продукт не будет работать в инфраструктуре. При этом, на практике, для подбора нормально работающего решения, как правило, требуется проведение нескольких пилотных внедрений.
- Некачественные отечественные наложенные средства защиты. Большинство отечественных продуктов недоработаны, отсутствует подробная документация, что, нередко, дополняется медленной и не сильно компетентной техподдержкой. Нередко заказчикам приходится рекомендовать вендорам доработку их решений. Некоторые вендоры соглашаются, а некоторые нет. Также, в практике нередки случаи, когда отечественное решение внедрено, в процессе эксплуатации в нем обнаруживаются недостатки, вендор их не устраняет, а делает новое решение и прекращает поддержку старого, вынуждая заказчика внедрять или искать новое решение. Автор надеется, что в процессе реализации политики импортозамещения регуляторы обратят внимание на таких производителей и придумают механизм пресечения подобных действий.
Есть ли выход?
Как бы много не было проблем, переходить к импортонезависимой инфраструктуре все-таки нужно. Нужно не только для выполнения требований, но и для обеспечения безопасности и устойчивости.
По мнению автора 5-ти летний срок является нормальным (нормативный срок для замещения программно-аппаратной составляющей составляет чуть более 5 лет). Единственное опасение вызывает отсутствие удовлетворяющих по функциональным характеристикам решений, созданных для замены импортных и слабая клиентоориентированность некоторых вендоров.
В целом, по мнению автора, механизм реализации есть:
- составить планы импортозамещения, причем подойти к этому вопросу с акцентом на реальность выполнения;
- продумать мероприятия, бюджеты и ответственных за выполнение данных планов;
- начать их реализовывать.
Готовиться нужно к серьезной и кропотливой работе по данному направлению, включая работу с производителями решений в части донесения до них недостатков их решений и требований по доработке.
Автор уверен, что при должном подходе, даже при самом неоптимистичном развитии событий, на 80% план будет выполнен. Для тех задач, которые не будут выполнены, будет аргументированная позиция. Скорее всего это будет связано с тем, что нужного отечественного решения: не было, долго не было или решение долго дорабатывалось до нужного функционала. Но даже в таком случае, если и будет какое-то отставание по срокам, то опоздание будет небольшим.
Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ru
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!