Журнал «Метод», № 2 • 2018 г. Читать весь номер онлайн

Исследование, проведенное компанией «КСБ-СОФТ», демонстрирует рост интереса к импортозамещению ПО в региональных органах исполнительной власти. При этом обнаруживаются некоторые риски, которые важно учитывать в рамках масштабного процесса ИТ-замещения.

Для анализа тенденций ИТ-импортозамещения в госсекторе разработчик решений в области информационной безопасности и защиты персональных данных компания «КСБ-СОФТ», входящая в группу компаний «Кейсистемс», провела собственное исследование, в котором приняли участие 63 организации. Исследование базируется на опросе руководителей отделов защиты информации региональных органов исполнительной власти и включает в себя три блока вопросов, позволяющих выявить актуальные потребности этих структур.

Операционные системы

Доля респондентов, заинтересованных в решении вопроса импортозамещения, составила 55,6% от общего числа опрошенных, то есть налицо рост интереса к отечественным решениям в сфере ИТ.

В вопросе импортозамещения операционных систем ожидаемо не выявлено очевидного лидера: пока сложно говорить о решении, которое соответствовало бы всем требованиям госорганов. У некоторых ОС есть положительный опыт внедрения, но это не означает, что они универсальны. Выбор РОСА, Альт Линукс и Astra Linux связан с тем, что они сертифицированы ФСТЭК России, включены в единый реестр отечественного ПО, совместимы с «наложенными» средствами защиты информации и имеют успешный опыт внедрения в органах государственной власти субъектов Российской Федерации.

Операционные системы применяются не только на серверах, но и на большом числе конечных станций. Среди них также нет явного лидера: многие организации до сих пор не могут определиться с выбором.

Анализ показывает, что позиции продукции Microsoft в ближайшем будущем сохранятся — в основном благодаря неготовности прикладного программного обеспечения и периферийного оборудования работать в среде иных операционных систем. За 2017 год закупки ОС Windows активно продолжались в форме поставки оборудования с предустановленной операционной системой, в том числе по соображениям совместимости с прикладным ПО.

Базы данных

Результаты анализа активно применяемых систем управления базами данных (СУБД) более однозначны и представлены на рисунке 1.

Наиболее популярной СУБД является Postgres Pro. Это обусловлено тем, что она разработана на основе свободно распространяемой СУБД PostgreSQL, совместима с большим количеством операционных систем (в том числе с сертифицированными операционными системами Astra Linux, РОСА и Альт Линукс), имеет профессиональную поддержку. При этом Postgres Pro имеет версию продукта, сертифицированную во ФСТЭК России по требованиям руководящих документов РД СВТ по 5-му классу, РД НДВ по 4-му уровню и заявленным техническим условиям. Таким образом, продукт может использоваться в государственных информационных системах до 1-го класса включительно и информационных системах персональных данных до 1-го класса включительно.

Офисное ПО

При изучении вопроса импортозамещения офисного программного обеспечения респондентам предлагалось обозначить заинтересованность в продукте «МойОфис» или же указать иное офисное программное обеспечение. Анализ анкет показал, что доля рынка, которая рассматривает офисное ПО «МойОфис», составляет 35,7% от общего числа заинтересованных в офисном ПО. При этом у органов власти имеется интерес к свободно распространяемому офисному пакету LibreOffice, а также потребность в офисном ПО для проведения стендовых испытаний / опытной эксплуатации.

«В настоящий момент идет активное развитие российского программного обеспечения, в первую очередь в том сегменте, который исторически был занят иностранными компаниями: программы для офиса и профессиональной работы», — отмечает Алексей Беляев, представитель продукта «МойОфис». По его словам, вопрос импортозамещения в ИТ в целом непростой и предполагает адаптацию существующих процессов под новые продукты. А это требует большой вовлеченности сотрудников. «В нескольких регионах у нас уже есть позитивный опыт системной работы по исследованию реальных потребностей пользователей с привлечением нескольких отечественных вендоров и результатами в виде создания региональных ИТ-стандартов», — поясняет эксперт. Что касается решений open source, то большинство из них не обеспечивает поддержку, необходимую государственным организациям, и никто не будет нести ответственность за работоспособность бизнес-процессов, добавляет он.

Вопросы безопасности

Не секрет, что основным драйвером проектов по информационной безопасности является подготовка к проверкам регуляторов. Причем больше всего анкетируемых интересует прохождение проверки ФСТЭК России (рисунок 2).

Интерес респондентов к мерам по защите информации (рисунок 3) обусловлен необходимостью выполнения требований Федерального закона от 27 июля 2006 года № 149‑ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 года № 152‑ФЗ «О персональных данных» и принятых в соответствии с ними нормативных правовых актов.

Следует отметить, что со вступлением в силу постановления Правительства РФ от 11 мая 2017 года № 555 растет потребность в подготовке и согласовании моделей угроз и технических заданий со ФСТЭК России и ФСБ России в части, касающейся создания/модернизации систем защиты информации государственных информационных систем. Отдельное внимание респонденты уделяют мероприятиям по регламентации взаимодействия с иными информационными системами.

Четыре шага, которые помогут ускорить ИТ-импортозамещение в организации:

1. Изучайте обстановку в организации и существующий опыт коллег.

2. Взаимодействуйте с разработчиками информационных систем.

3. Собирайте испытательные стенды.

4. Обеспечьте построение системы защиты.

В вопросе применения основных технических мер по защите информации (рисунок 4) тенденция к использованию классических сертифицированных средств защиты информации остается неизменной. Среди них:

• средства защиты информации от несанкционированного доступа на рабочих местах и серверах информационной системы;
• средства антивирусной защиты;
• средства межсетевого экранирования;
• средства организации VPN-сетей;
• системы обнаружения вторжений.

Одновременно результаты анкетирования показывают, что респонденты уделяют мало внимания проектированию системы защиты информации и стендовым испытаниям средств защиты информации. Допущенные ошибки могут негативно сказаться на всем процессе внедрения и повлечь значительные финансовые убытки. Стендовые испытания защитных комплексов существенно снижают соответствующие риски.

Стендовые испытания — обязательный этап перехода госорганов на российское программное обеспечение. «Для качественной проверки программных продуктов было выбрано пять региональных органов исполнительной власти и пять органов муниципального образования, назначены ответственные. После внедрения программных решений в учреждения было начато наблюдение за тем, как они стыкуются с системами, как работают, каким образом происходит взаимодействие с ГИС и СЭД. Все обнаруженные недоработки отправлялись разработчикам на исправление. Таким образом, мы пилотировали „МойОфис“, Альт Линукс, „АльфаДок“, BellChat. Проект длился год, его реализация продолжается и сегодня. Хотелось бы посоветовать всем организациям, имеющим в рамках импортозамещения план с указанием к переходу на то или иное ПО или ОС, обязательно провести пилот, проверить совместимость систем — это поможет принять взвешенное решение о покупке продукта, адаптированного под нужды учреждения», — делится опытом Юрий Емельянов, начальник Управления информационной инфраструктуры Министерства информационных технологий и связи Ростовской области.

Средства защиты информации

Анализ приоритетности использования средств защиты информации демонстрирует существенный перевес в пользу «накладных» СЗИ. При этом большинство респондентов рассматривают оптимизацию технической площадки посредством закупки рабочих станций (рисунок 5).

Как видно из графика, использованию облачных сервисов в оптимизации технической площадки уделяется пока недостаточно внимания, в то время как облачные сервисы могут значительно облегчить управление организационно-техническими мероприятиями по защите информации в организации. «Опыт внедрения нашего программного комплекса в различных организациях показывает, насколько проще становится создавать необходимый пакет организационно-распорядительной документации и поддерживать его в соответствии с актуальными требованиями законодательства. Функционал по обработке и защите персональных данных, по защите информации в ГИС, по эксплуатации криптосредств позволяет руководителям высшего звена сформировать единую концепцию безопасности, а после — контролировать выполнение задач во всей подведомственной сети», — рассказывает Максим Сорокин, заместитель генерального директора ООО «КСБ-СОФТ».

Некоторые выводы

Можно констатировать, что развитие нормативно-правового поля в области импортозамещения активно продолжается. В то же время обнаруживаются некоторые риски, которые стоит обязательно учитывать в рамках масштабного процесса ИТ-замещения.

Наибольшие сложности вызывают вопросы импортозамещения операционных систем клиентских рабочих мест. Это обусловлено зависимостью абсолютного большинства прикладного программного обеспечения от операционных систем Win-семейства. Еще один риск — отсутствие на отечественном рынке полных аналогов импортных ИТ-продуктов, их значительные отличия в функциональности и удобстве пользования, а также возможность сбоев и потерь данных при миграции на импортонезависимые платформы.

Таким образом, составление и реализация планов/стратегий импортозамещения не может быть только организационным мероприятием. Оно неразрывно связано с техническим пилотированием / стендовыми испытаниями предполагаемых к внедрению импортонезависимых решений. А следовательно, и сами планы должны корректироваться по результатам таких мероприятий.

Интересна и финансовая сторона вопроса: иногда экономически более эффективно обновление импортного ПО, чем внедрение импортонезависимых решений. Однако есть и обратные примеры.

Позитивным аспектом импортозамещения можно считать относительную простоту сотрудничества с отечественными производителями и возможность влияния на развитие их продуктов.

В области информационной безопасности основными направлениями остаются вопросы обеспечения безопасности государственных информационных систем и персональных данных, в том числе по причине усиления контрольно-надзорной деятельности регуляторов в данной области — ФСТЭК России, ФСБ России, Роскомнадзора.

Многие государственные органы осознают, что информационная безопасность не разовое мероприятие, а регулярный процесс. В целом развитие информационных систем и систем защиты становится более регламентированным, в том числе вследствие нормативного регулирования данных вопросов. Отдельным актуальным вопросом можно считать четкое распределение ответственности при организации информационного взаимодействия между информационными системами и при поручении обработки персональных данных.

Важно также отметить понимание значительного развития векторов атак, прежде всего на веб-системы. Вследствие этого многие организации заинтересованы в применении специальных технических средств (веб-фаерволы, системы обнаружения и предотвращения вторжений и другие), в проведении тестирования на проникновение и выстраивании процессов экспертного технического сопровождения подсистем информационной безопасности, а также в мониторинге и расследовании инцидентов информационной безопасности.

---