Контакты
Подписка 2024

Что мешает быстрому импортозамещению на объектах критической информационной инфраструктуры?

Константин Саматов, 01/10/24

Обеспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

ris1-Oct-01-2024-08-59-27-9124-AM

Импортозамещение выступает одним из ключевых способов достижения независимости и напрямую влияет на деятельность множества организаций, экономику страны в целом, а также на защищенность КИИ.

Кто должен заниматься импортозамещением КИИ?

На первый взгляд кажется, что импортозамещением должны заниматься все субъекты КИИ, но это не совсем так (см. табл.).

t1-Oct-01-2024-08-56-33-4929-AM

Таким образом, все субъекты КИИ обязаны выполнить требования, перечисленные в пп. 1 и 3 данной таблицы, а большая часть субъектов КИИ еще и требования п. 2 (не все субъекты КИИ являются "отдельными видами юридических лиц").

Как выполнять требования по импортозамещению?

Алгоритм импортозамещения как для программного обеспечения (в том числе средств защиты), так и для программно-аппаратных комплексов, которые тоже могут быть средствами защиты информации, одинаков и достаточно прост. Он включает в себя всего три шага.

  • Шаг 1. Провести инвентаризацию используемых на объектах КИИ компонентов, требующих импортозамещения.
  • Шаг 2. Разработать и утвердить план перехода на доверенные компоненты.
  • Шаг 3. Реализовать "свой" план – осуществить переход в установленный срок (до 01.01.2025 г. и до 01.01.2030 г.)

Вроде бы алгоритм прост, сроки вполне реальны, но на практике в ходе его реализации возникает множество нюансов, препятствующих бесшовному и быстрому импортозамещению. А множество экспертов отрасли считают, что осуществить импортозамещение в указанные сроки нереально.

Что мешает (быстрому) импортозамещению на объектах КИИ?

Ограниченные ресурсы

Бюджет и штатная численность персонала у всех субъектов КИИ ограничены. Бюджеты подразделений информационных технологий и безопасности (в том числе информационной) обычно находятся в интервале от 5 до 15% в бюджета организации (всех названных подразделений), что, естественно, не позволяет в сжатые сроки проводить замену всей или большей части информационной инфраструктуры, которая может насчитывать до нескольких тысяч объектов [1].

Помимо фиксированного количества работников в штате, на текущий момент есть еще проблема с квалификацией. Так как решения, идущие взамен зарубежным, являются новыми (по крайней мере для работников конкретного субъекта КИИ), практически у всех отсутствует необходимое количество персонала, способного их внедрять и администрировать. При этом вендоры и интеграторы находятся в такой же ситуации – ввиду большого количества заказов они так же ощущают нехватку специалистов и, как правило, не могут выделить нужный объем заказчику.

Непрерывный цикл производства

Чтобы произвести замену компонентов на объекте КИИ, являющемся автоматизированной системой управления (технологическим или производственным процессом), а большинство значимых объектов КИИ относятся именно к этому виду, нужно эту систему временно вывести из технологического (производственного) процесса. Если мы говорим о полной замене программного обеспечения или программноаппаратных компонентов, то вывод объекта из технологического процесса может быть длительным. Помимо этого, так называемые технологические окна обычно редки (один раз в год), что не позволяет осуществлять процесс замены компонентов в краткосрочном периоде (до трех лет).

Проблема амортизации

Оборудование и программное обеспечение (лицензии) имеют определенный временной срок использования, поэтому сложно прекратить использование ранее закупленного и работоспособного оборудования и программного обеспечения, срок полезного использования которого не истек. Подобные действия обычно вызывают сопротивление как со стороны владельцев деловых (технологических) процессов, так и со стороны финансово-экономических блоков организаций, которые считают их финансовым нарушением.

Отсутствие прикладного программного обеспечения, способного работать с отечественными операционными системами

Ни для кого не секрет, что подавляющее большинство объектов информационной инфраструктуры в большинстве организаций работает на операционной системе Windows. Замена данной операционной системы на отечественную практически всегда связана с необходимостью замены прикладного программного обеспечения. При этом прикладное программное обеспечение автоматизированных систем управления почти всегда нуждается в отдельной специализированной разработке: нужно на заказ разрабатывать программное обеспечение под отечественную операционную систему, выполняющее необходимый функционал.

Сложность замены встроенных средств защиты на наложенные в автоматизированных системах управления

Требование (см. табл.) по прекращению использования зарубежных ("недружественных") средств защиты информации касается не только наложенных, но и встроенных средств. Отказ от встроенных средств защиты и замена на наложенные в автоматизированных системах управления – непростая задача. Основное правило применения наложенных средств защиты, существовавшее ранее, гласило: прежде чем применять наложенные средства защиты, необходимо заключение (согласование) от производителя (разработчика) автоматизированной системы управления. В сегодняшних реалиях получить такое заключение не всегда возможно, поэтому для оценки возможности применения наложенных средств защиты необходимо самостоятельно (или с привлечением подрядчика) проводить такое тестирование. По сути, данный факт, с учетом того что требование касается всех объектов информационной инфраструктуры (а не только критических), делает невозможным реализацию данного требования в больших инфраструктурах, насчитывающих несколько тысяч объектов, в установленный срок: май 2022 г. – декабрь 2024 г.

Длительный цикл внедрения

Автоматизированные (информационные) системы обычно при внедрении проходят несколько стадий (проектирование, внедрение, испытания, опытную эксплуатацию), которые могут занимать несколько лет. Кроме того, замена импортных решений на отечественные обычно связана с рядом трудностей, например, невозможно сразу подобрать по характеристикам необходимый заменитель, взять и заменить. Перед заменой обязательно нужно проводить предварительное тестирование и апробацию решений для проверки соответствия требованиям к функциональности, надежности и безопасности этих решений (так называемые пилотные внедрения). В противном случае можно столкнуться с ситуацией, когда замещаемый продукт не будет работать в инфраструктуре. На практике для подбора нормально работающего решения, как правило, требуется проведение нескольких пилотных внедрений.

Некачественные отечественные наложенные средства защиты

Большинство отечественных продуктов недоработаны, к тому же у них отсутствует подробная документация, и все это часто сопровождается медленной и не особо компетентной техподдержкой. Нередко, заказчикам приходится обращаться к вендорам за доработкой приобретенных решений. Некоторые вендоры соглашаются, а некоторые – нет. Возникают ситуации, когда отечественное средство защиты уже внедрено, в процессе эксплуатации в нем обнаруживаются недостатки, но вендор их не устраняет, а создает новое решение, прекращая поддержку старого, вынуждая заказчика внедрять или искать новый продукт. Я надеюсь, что в процессе реализации политики импортозамещения регуляторы обратят внимание на таких производителей и придумают механизм пресечения подобных действий.

Есть ли выход?

Несмотря на все трудности и проблемы, переходить к импортонезависимой инфраструктуре нужно. Это необходимо не только для выполнения требований, но и для обеспечения безопасности и устойчивости.

Пятилетний срок перехода является нормальным (нормативный срок для замещения программно-аппаратной составляющей составляет чуть более пяти лет). Единственное опасение вызывает отсутствие удовлетворяющих по функциональным характеристикам решений, созданных для замены импортных и слабая клиентоориентированность некоторых вендоров.

В целом, механизм реализации следующий:

  • составить планы импортозамещения, причем подойти к этому вопросу с акцентом на реальность выполнения;
  • продумать мероприятия, бюджеты и ответственных за выполнение данных планов;
  • начать их реализовывать.

Готовиться нужно к серьезной и кропотливой работе по данному направлению, включая работу с производителями решений в части донесения до них недостатков их продуктов и требований по доработке.

При должном подходе, даже при самом неоптимистичном развитии событий, план будет выполнен на 80%. Для тех задач, которые останутся нереализованными, найдется аргументированная позиция, связанная с тем, что нужного отечественного решения не было, долго не было или оно долго дорабатывалось до нужного функционала. Но даже в случае отставания по срокам, опоздание будет небольшим.


  1. Здесь прежде всего речь идет о выполнении требования по прекращению использования зарубежных (“недружественных") средств защиты, которое касается всех объектов инфраструктуры, а не только критических
  2. Указ Президента РФ от 01.05.2022 № 250 “О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"
  3. Указ Президента РФ от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации"
  4. Постановление Правительства РФ от 14.11.2023 № 1912 “О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации"

 

 

 

Темы:ИмпортозамещениеКИИЖурнал "Информационная безопасность" №4, 2024

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Быстрое импортозамещение в КИИ: проблема или задача?
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Со студенческой скамьи мы помним, что проблема и задача – это совершенно разные вещи, и их важно не путать.
  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • "Ассистент": безопасное решение для удаленного доступа на промышленных предприятиях
    Оксана Шабанова, генеральный директор ООО “САФИБ”
    "Ассистент" – кросс-платформенное решение, поддерживающее работу на большинстве операционных систем семейства Windows, Linux, Android, macOS. Проведены испытания, подтверждающие совместимость "Ассистент" с российскими операционными системами, в том числе сертифицированными ФСТЭК России
  • Облако перспектив для объектов критической инфраструктуры
    Алексей Кубарев, директор по информационной безопасности Т1 Облако
    В последние годы на отечественном ИТ-рынке прослеживаются два основных тренда, развитие которых привело к размещению ОКИИ в облаках. Поговорим подробнее о том, в чем выгода такого подхода и как не допустить ошибок в процессе.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...