На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

В данной статье мы поговорим об изменениях в процессе перехода критически важных информационных систем на отечественное программное обеспечение (ПО). Будет рассмотрен новый порядок такого перехода и описаны потенциальные сложности, с которыми могут столкнуться как государственные учреждения, так и коммерческие компании.

Критическая информационная инфраструктура (КИИ) – это совокупность информационных систем, сетей, объектов и ресурсов, которые имеют стратегическое значение для функционирования государства, обеспечения безопасности, экономики и общества в целом. КИИ включает в себя системы связи, энергетические системы, финансовые системы, системы здравоохранения, транспортные системы и другие критически важные инфраструктурные объекты.

Последние новости в сфере КИИ

1. С 10 июля 2023 года организации с государственными правами регистрации на недвижимое имущество и сделки с ними также причислены к КИИ, за счет чего количество входящих в нее сфер выросло с 14 до 15.
2. Федеральная служба по техническому и экспортному контролю (ФСТЭК) и другие регуляторы начинают уточнять список объектов, которые необходимо категоризировать в рамках КИИ, известно о причастности организаций оборонно-промышленного комплекса и транспортной сферы.
3. Назначаются новые штрафы за повторные нарушения при проведении категорирования КИИ.
4. Постановлением Правительства № 2360 добавляются новые показатели критичности, а ФСТЭК просит пересмотреть категоризацию.
5. Упоминаются новые проекты документов в области КИИ, включая план мероприятий для преимущественного использования российского программного обеспечения при закупках, обновленный список требований по безопасности значимых объектов КИИ, и требования по обеспечению безопасности для субъектов КИИ в области электроэнергетики.

По количеству и качеству происходящих изменений можно сделать вывод о том, что власти уделяют данному направлению серьезное внимание.

Важность критической информационной инфраструктуры в современной России обусловлена несколькими факторами:

• Безопасность государства: КИИ является ключевым элементом национальной безопасности. Нарушение или недостаточная защита критической информационной инфраструктуры может привести к серьезным последствиям, таким как кибератаки, утечки конфиденциальной информации, прерывание работы важных систем и нарушение функционирования государства.
• Экономическая стабильность: КИИ играет важную роль в обеспечении экономической стабильности и развития страны. Многие экономические секторы, включая финансовую систему, энергетику, транспорт и телекоммуникации, зависят от надежности и безопасности информационной инфраструктуры. Проблемы в КИИ могут негативно сказаться на экономической активности, инвестициях и бизнес-процессах.
• Социальная стабильность: КИИ влияет на множество аспектов повседневной жизни граждан, включая доступ к услугам здравоохранения, образованию, коммуникации и транспорту. Обеспечение надежности и защищенности КИИ способствует общественной стабильности, удовлетворению потребностей населения и поддержанию социального благополучия.
• Защита конфиденциальной информации: в современном информационном обществе защита конфиденциальности и персональных данных становится все более важной. КИИ должна обеспечивать высокий уровень защиты информации от несанкционированного доступа, взломов и утечек данных, чтобы предотвратить финансовые потери, нарушение приватности и другие негативные последствия.
• Кибербезопасность и информационная война: современные технологии и интернет открыли новые возможности для кибератак и информационной войны. КИИ должна быть защищена от угроз виртуального пространства, чтобы предотвратить кибершпионаж, хакерские атаки, распространение дезинформации и другие вредоносные действия.

Для обеспечения безопасности и надежности критической информационной инфраструктуры в России принимаются меры по разработке и внедрению соответствующих законодательных актов, созданию центров по обеспечению кибербезопасности, усилению сотрудничества с частным сектором и проведению систематических проверок и испытаний систем на уязвимости и резервирование данных.

Современная ситуация на рынке программного обеспечения для КИИ

Доля отечественного и иностранного программного обеспечения в России может меняться в зависимости от различных факторов, таких как экономическая ситуация, политические решения, технологический прогресс и т. д.

В целом, можно сказать, что доля иностранного ПО в России выше, так как зарубежные компании имеют больший опыт и ресурсы для разработки программных продуктов. Однако отечественное ПО также имеет свое место на рынке и активно развивается.

На данный момент популярное программное обеспечение в области критической информационной инфраструктуры может варьироваться в зависимости от конкретных требований и потребностей организаций и секторов.

Однако отечественное ПО уже широко используется в различных сегментах:

• Системы управления доступом (Access Control Systems): это ПО, обеспечивающее контроль доступа к критическим объектам и информационным системам, например, системы идентификации и аутентификации пользователей, управления привилегиями и аудита доступа. (Например, Платформа Аутентификации и Управления Доступом” (ПАУД) от “ИнфоТеКС, IT-Guardian от компании Ростелеком);
• Системы мониторинга и обнаружения инцидентов (Security Monitoring and Incident Detection Systems) – ПО, которое предоставляет возможности для мониторинга, анализа и обнаружения возможных угроз и инцидентов в критической информационной инфраструктуре (например, Kaspersky Security Intelligence Portal, ЦМР от ФСБ России);
• Системы защиты периметра (Perimeter Security Systems) – ПО для обеспечения защиты внешнего периметра сети и объектов критической информационной инфраструктуры от внешних атак, например системы брандмауэров и системы обнаружения вторжений (Firewall Guard от “Лаборатории Касперского”, Infоrus Guard от компании “Инфорус”, Платформ защиты периметра” (ПЗП) от Dr. Web);
• Системы автоматизации и управления (Automation and Control Systems) – продукты для автоматизации и управления операционными процессами в критической информационной инфраструктуре, такие как системы управления электросетями, системы управления транспортными сетями и системы управления промышленными объектами.( Например, ИРБИС от компании “СКБ Контур”, КриптоПро УЦ от компании “КриптоПро” );
• Системы резервного копирования и восстановления (Backup and Recovery Systems) – решения для создания резервных копий данных и восстановления систем и информации в случае сбоев или катастрофических событий в критической информационной инфраструктуре (Мастер-Ключ от “Лаборатории Касперского”, “Acronis Cyber Backup” от компании “Acronis”).

Согласно заявлению Председателя Правительства, конкурентная ситуация в сфере программного обеспечения (ПО) является значительной, поскольку уже для 80% иностранного ПО существуют российские аналоги.

Более того, по трети позиций представлены два или более отечественных варианта. Большое количество субъектов КИИ подтвердили критическую зависимость от импорта в отношении примерно 400 видов корпоративного ПО.

Премьер-министр Мишустин также отметил, что частный сектор ежегодно тратит около 200 млрд рублей на покупку лицензий, внедрение и поддержку ПО.

Таким образом, перспективы у российского ПО в сфере КИИ имеются. И сегодня поставщикам необходимо работать над тем, чтобы представить достойные аналоги тем разработкам, что предлагали иностранные вендоры.

Новый порядок перехода на отечественное ПО: стандарты, регулирование, процедуры

Россия предпринимает различные меры, реализует инициативы в рамках стратегии развития отечественной индустрии информационных технологий и снижения зависимости от иностранного ПО.

Одним из таких мероприятий, как упоминалось выше, является государственная программа “Отечественное ПО”, которая направлена на развитие и поддержку российской индустрии информационных технологий.  Она предполагает реализацию различных программ финансирования, участие в государственных закупках и другие инструменты для поощрения использования отечественного ПО.

Стандарты, регулирование и процедуры, связанные с переходом на российские разработки, могут варьироваться в зависимости от конкретных требований и сферы применения. Обычно государство разрабатывает соответствующие нормативно-правовые акты, регламентирующие использование отечественного ПО в различных областях и секторах.

Рассмотрим ключевые этапы перехода на отечественное ПО:

1. Анализ и оценка. Начальный этап перехода на отечественное ПО включает анализ текущей информационной инфраструктуры организации, ее процессов и систем. Оцениваются технические характеристики существующего ПО, его совместимость с другими системами, а также его эффективность и безопасность. Также проводится оценка степени зависимости от иностранных поставщиков и связанные с ней риски. По итогам, определяется область для перехода на отечественное ПО и расставляются приоритеты.
2. Планирование и выбор. На основе результатов анализа разрабатывается план перехода, который включает в себя конкретные шаги, сроки и ресурсы, необходимые для реализации перехода. Определяются критерии выбора отечественного ПО, учитывающие требования и потребности организации, а также его соответствие стандартам и нормативам. Проводится исследование соответствующего сегмента ИТ-рынка для определения оптимальных решений.
3. Разработка и внедрение. На этом этапе осуществляется разработка и настройка системы на базе выбранного отечественного ПО. Важно обеспечить соответствие ПО специфическим потребностям и требованиям организации. Проводятся тестирование и анализ с тем, чтобы убедиться в стабильности и эффективности новой системы. Затем происходит интеграция новой системы с существующими данными и приложениями, что позволяет сохранить бесперебойную работу организации во время перехода.
4. Обучение и поддержка. После внедрения отечественного ПО персонал организации обучается его использованию. Проводятся специальные сессии, тренинги, осуществляется поддержка сотрудников. Важно обеспечить техническую поддержку и помощь после перехода, чтобы оперативно решать возникающие вопросы и проблемы. Периодически проводятся оценки и анализы эффективности новой системы, чтобы убедиться в успешности перехода и внести необходимые улучшения.

Проект Плана мероприятий для преимущественного использования российского ПО при закупках говорит о том, что Правительство постепенно переходит с иностранного ПО на отечественное ПО в области КИИ, а первые шаги к переходу начались с Указа Президента Российской Федерации от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации”.

Поскольку План еще разрабатывается, пока можно подготовиться к дальнейшим этапам, ориентируясь на следующие:

• Формирование нормативной базы. Разработка и внедрение нормативных актов, законов или правил, устанавливающих требования и преимущества для отечественного ПО при государственных закупках.
• Определение категорий продуктов и услуг. Прежде всего, речь идет о тех, где преимущественное использование российского ПО является стратегически важным, например, в области критической информационной инфраструктуры или государственной безопасности.
• Содействие развитию отечественной индустрии ПО. Проведение мероприятий по развитию и поддержке отечественных разработчиков ПО, таких как финансовая поддержка, налоговые льготы, предоставление грантов, создание инновационных центров и инкубаторов.
• Создание реестра отечественного ПО и его развитие в соответствии с установленными требованиями, что позволяет использовать его при государственных закупках.
• Информационное обеспечение. Распространение информации о возможностях и преимуществах отечественного ПО среди государственных заказчиков и принимающих решения, организация семинаров, конференций или презентаций.
• Обучение и подготовка персонала.
• Сотрудничество с отечественными разработчиками для удовлетворения требований и потребностей государственных организаций.
• Мониторинг и оценка. Организация системы мониторинга и оценки эффективности преимущественного использования российского ПО при государственных закупках, включая анализ результатов и корректировку стратегии при необходимости.

Все вышеперечисленное является лишь абстракцией, конкретные мероприятия и детали плана будут зависеть от конкретных потребностей и целей субъекта КИИ.

Возможные сложности и задачи для КИИ при переходе на отечественное ПО

Программа “Отечественное ПО” в России направлена на развитие отечественной индустрии информационных технологий, включая область КИИ. Она способствует увеличению доли отечественного ПО на рынке и стимулирует разработку и использование отечественных решений в критической информационной инфраструктуре.

Однако доля отечественного и иностранного ПО в области КИИ может зависеть от конкретных проектов, систем и компаний. Во многих случаях использование ПО может быть сочетанием отечественных и иностранных разработок в зависимости от доступности, функциональности и индивидуальных решений.

Основными сложностями в КИИ при переходе являются следующее:

1. Технические проблемы, с которыми сталкиваются при внедрении программного обеспечения (ПО) в критическую информационную инфраструктуру (КИИ). Прежде всего, речь идет о совместимости с существующими системами, об обеспечении надежности и высокой производительности. Несоответствие форматов данных и протоколов может привести к неполадкам. Надежность ПО играет критическую роль, чтобы предотвратить сбои и угрозы безопасности. Эффективность работы ПО необходима для оперативности и отзывчивости КИИ, что может требовать оптимизации алгоритмов и производительности.
2. Экономические проблемы. При переходе на российское ПО субъекты КИИ должны учитывать высокую стоимость разработки и внедрения, требующую значительных финансовых ресурсов. Зависимость от поставщиков ПО, оборудования и услуг может создать риски при изменении условий сотрудничества. Обеспечение надежной безопасности КИИ также требует дополнительных инвестиций в технологии и механизмы защиты от киберугроз.
3. Проблемы обучения и адаптации. Главным образом, связаны с недостатком квалифицированных кадров, требующихся для работы с КИИ, а также с необходимостью обучения персонала новым технологиям и ПО, а также с возможным сопротивлением изменениям со стороны сотрудников. Для успешного внедрения КИИ и преодоления этих проблем необходимо обратить внимание на подготовку персонала, обучение и коммуникацию.

Итоги

Итак, для обеспечения успешного перехода с иностранного программного обеспечения ПО на отечественное для использования в КИИ должны быть предложены различные стратегии и решения.

Сложностей немало, но все их возможно преодолеть, следуя определенному плану и при постоянной поддержке государства. Важно помнить, что переход должен осуществляться постепенно, в процессе необходимо тщательно подыскивать и анализировать программные решения. Кроме того, персонал осуществляющих трансформацию компаний также необходимо вовлекать в процесс, развивая и обучая навыкам работы и взаимодействия в новых условиях.

Ключевой фактор успеха – систематичность и комплексный подход к решению задач, а также использование опыта и поддержки со стороны отечественных разработчиков и государства.