Что нужно учитывать при проведении политики импортозамещения ПО?
Исследование, проведенное компанией «КСБ-СОФТ», демонстрирует рост интереса к импортозамещению ПО в региональных органах исполнительной власти. При этом обнаруживаются некоторые риски, которые важно учитывать в рамках масштабного процесса ИТ-замещения.
Для анализа тенденций ИТ-импортозамещения в госсекторе разработчик решений в области информационной безопасности и защиты персональных данных компания «КСБ-СОФТ», входящая в группу компаний «Кейсистемс», провела собственное исследование, в котором приняли участие 63 организации. Исследование базируется на опросе руководителей отделов защиты информации региональных органов исполнительной власти и включает в себя три блока вопросов, позволяющих выявить актуальные потребности этих структур.
Операционные системы
Доля респондентов, заинтересованных в решении вопроса импортозамещения, составила 55,6% от общего числа опрошенных, то есть налицо рост интереса к отечественным решениям в сфере ИТ.
В вопросе импортозамещения операционных систем ожидаемо не выявлено очевидного лидера: пока сложно говорить о решении, которое соответствовало бы всем требованиям госорганов. У некоторых ОС есть положительный опыт внедрения, но это не означает, что они универсальны. Выбор РОСА, Альт Линукс и Astra Linux связан с тем, что они сертифицированы ФСТЭК России, включены в единый реестр отечественного ПО, совместимы с «наложенными» средствами защиты информации и имеют успешный опыт внедрения в органах государственной власти субъектов Российской Федерации.
Операционные системы применяются не только на серверах, но и на большом числе конечных станций. Среди них также нет явного лидера: многие организации до сих пор не могут определиться с выбором.
Анализ показывает, что позиции продукции Microsoft в ближайшем будущем сохранятся — в основном благодаря неготовности прикладного программного обеспечения и периферийного оборудования работать в среде иных операционных систем. За 2017 год закупки ОС Windows активно продолжались в форме поставки оборудования с предустановленной операционной системой, в том числе по соображениям совместимости с прикладным ПО.
Базы данных
Результаты анализа активно применяемых систем управления базами данных (СУБД) более однозначны и представлены на рисунке 1.
Наиболее популярной СУБД является Postgres Pro. Это обусловлено тем, что она разработана на основе свободно распространяемой СУБД PostgreSQL, совместима с большим количеством операционных систем (в том числе с сертифицированными операционными системами Astra Linux, РОСА и Альт Линукс), имеет профессиональную поддержку. При этом Postgres Pro имеет версию продукта, сертифицированную во ФСТЭК России по требованиям руководящих документов РД СВТ по
Офисное ПО
При изучении вопроса импортозамещения офисного программного обеспечения респондентам предлагалось обозначить заинтересованность в продукте «МойОфис» или же указать иное офисное программное обеспечение. Анализ анкет показал, что доля рынка, которая рассматривает офисное ПО «МойОфис», составляет 35,7% от общего числа заинтересованных в офисном ПО. При этом у органов власти имеется интерес к свободно распространяемому офисному пакету LibreOffice, а также потребность в офисном ПО для проведения стендовых испытаний / опытной эксплуатации.
«В настоящий момент идет активное развитие российского программного обеспечения, в первую очередь в том сегменте, который исторически был занят иностранными компаниями: программы для офиса и профессиональной работы», — отмечает Алексей Беляев, представитель продукта «МойОфис». По его словам, вопрос импортозамещения в ИТ в целом непростой и предполагает адаптацию существующих процессов под новые продукты. А это требует большой вовлеченности сотрудников. «В нескольких регионах у нас уже есть позитивный опыт системной работы по исследованию реальных потребностей пользователей с привлечением нескольких отечественных вендоров и результатами в виде создания региональных ИТ-стандартов», — поясняет эксперт. Что касается решений open source, то большинство из них не обеспечивает поддержку, необходимую государственным организациям, и никто не будет нести ответственность за работоспособность бизнес-процессов, добавляет он.
Вопросы безопасности
Не секрет, что основным драйвером проектов по информационной безопасности является подготовка к проверкам регуляторов. Причем больше всего анкетируемых интересует прохождение проверки ФСТЭК России (рисунок 2).
Интерес респондентов к мерам по защите информации (рисунок 3) обусловлен необходимостью выполнения требований Федерального закона от 27 июля 2006 года № 149‑ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 года № 152‑ФЗ «О персональных данных» и принятых в соответствии с ними нормативных правовых актов.
Следует отметить, что со вступлением в силу постановления Правительства РФ от 11 мая 2017 года № 555 растет потребность в подготовке и согласовании моделей угроз и технических заданий со ФСТЭК России и ФСБ России в части, касающейся создания/модернизации систем защиты информации государственных информационных систем. Отдельное внимание респонденты уделяют мероприятиям по регламентации взаимодействия с иными информационными системами.
Четыре шага, которые помогут ускорить ИТ-импортозамещение в организации:
1. Изучайте обстановку в организации и существующий опыт коллег.
2. Взаимодействуйте с разработчиками информационных систем.
3. Собирайте испытательные стенды.
4. Обеспечьте построение системы защиты.
В вопросе применения основных технических мер по защите информации (рисунок 4) тенденция к использованию классических сертифицированных средств защиты информации остается неизменной. Среди них:
Одновременно результаты анкетирования показывают, что респонденты уделяют мало внимания проектированию системы защиты информации и стендовым испытаниям средств защиты информации. Допущенные ошибки могут негативно сказаться на всем процессе внедрения и повлечь значительные финансовые убытки. Стендовые испытания защитных комплексов существенно снижают соответствующие риски.
Стендовые испытания — обязательный этап перехода госорганов на российское программное обеспечение. «Для качественной проверки программных продуктов было выбрано пять региональных органов исполнительной власти и пять органов муниципального образования, назначены ответственные. После внедрения программных решений в учреждения было начато наблюдение за тем, как они стыкуются с системами, как работают, каким образом происходит взаимодействие с ГИС и СЭД. Все обнаруженные недоработки отправлялись разработчикам на исправление. Таким образом, мы пилотировали „МойОфис“, Альт Линукс, „АльфаДок“, BellChat. Проект длился год, его реализация продолжается и сегодня. Хотелось бы посоветовать всем организациям, имеющим в рамках импортозамещения план с указанием к переходу на то или иное ПО или ОС, обязательно провести пилот, проверить совместимость систем — это поможет принять взвешенное решение о покупке продукта, адаптированного под нужды учреждения», — делится опытом Юрий Емельянов, начальник Управления информационной инфраструктуры Министерства информационных технологий и связи Ростовской области.
Средства защиты информации
Анализ приоритетности использования средств защиты информации демонстрирует существенный перевес в пользу «накладных» СЗИ. При этом большинство респондентов рассматривают оптимизацию технической площадки посредством закупки рабочих станций (рисунок 5).
Как видно из графика, использованию облачных сервисов в оптимизации технической площадки уделяется пока недостаточно внимания, в то время как облачные сервисы могут значительно облегчить управление организационно-техническими мероприятиями по защите информации в организации. «Опыт внедрения нашего программного комплекса в различных организациях показывает, насколько проще становится создавать необходимый пакет организационно-распорядительной документации и поддерживать его в соответствии с актуальными требованиями законодательства. Функционал по обработке и защите персональных данных, по защите информации в ГИС, по эксплуатации криптосредств позволяет руководителям высшего звена сформировать единую концепцию безопасности, а после — контролировать выполнение задач во всей подведомственной сети», — рассказывает Максим Сорокин, заместитель генерального директора ООО «КСБ-СОФТ».
Некоторые выводы
Можно констатировать, что развитие нормативно-правового поля в области импортозамещения активно продолжается. В то же время обнаруживаются некоторые риски, которые стоит обязательно учитывать в рамках масштабного процесса ИТ-замещения.
Наибольшие сложности вызывают вопросы импортозамещения операционных систем клиентских рабочих мест. Это обусловлено зависимостью абсолютного большинства прикладного программного обеспечения от операционных систем Win-семейства. Еще один риск — отсутствие на отечественном рынке полных аналогов импортных ИТ-продуктов, их значительные отличия в функциональности и удобстве пользования, а также возможность сбоев и потерь данных при миграции на импортонезависимые платформы.
Таким образом, составление и реализация планов/стратегий импортозамещения не может быть только организационным мероприятием. Оно неразрывно связано с техническим пилотированием / стендовыми испытаниями предполагаемых к внедрению импортонезависимых решений. А следовательно, и сами планы должны корректироваться по результатам таких мероприятий.
Интересна и финансовая сторона вопроса: иногда экономически более эффективно обновление импортного ПО, чем внедрение импортонезависимых решений. Однако есть и обратные примеры.
Позитивным аспектом импортозамещения можно считать относительную простоту сотрудничества с отечественными производителями и возможность влияния на развитие их продуктов.
В области информационной безопасности основными направлениями остаются вопросы обеспечения безопасности государственных информационных систем и персональных данных, в том числе по причине усиления контрольно-надзорной деятельности регуляторов в данной области — ФСТЭК России, ФСБ России, Роскомнадзора.
Многие государственные органы осознают, что информационная безопасность не разовое мероприятие, а регулярный процесс. В целом развитие информационных систем и систем защиты становится более регламентированным, в том числе вследствие нормативного регулирования данных вопросов. Отдельным актуальным вопросом можно считать четкое распределение ответственности при организации информационного взаимодействия между информационными системами и при поручении обработки персональных данных.
Важно также отметить понимание значительного развития векторов атак, прежде всего на веб-системы. Вследствие этого многие организации заинтересованы в применении специальных технических средств (веб-фаерволы, системы обнаружения и предотвращения вторжений и другие), в проведении тестирования на проникновение и выстраивании процессов экспертного технического сопровождения подсистем информационной безопасности, а также в мониторинге и расследовании инцидентов информационной безопасности.
Бухгалтерский (бюджетный) учет. Формирование отчетности.
Налоговое планирование. Изменение законодательства.
Вопросы трудовых отношений. Производительность труда. Оплата и нормирование труда.
Развитие внутреннего финансового контроля и аудита.
Семинары всегда проходят на высоком уровне, носят прикладной характер, информативны.
Спасибо за оставленую заявку!
Менеджер свяжется с Вами
в ближайшее время.