Контакты
Подписка 2025

О практике реализации требований о технологической независимости согласно указу № 166 и ПП-1912

Алексей Хмыров, 17/01/25

Тема обеспечения технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации не нова, по ней существует множество публикаций, комментариев экспертов, обсуждений в тематических каналах. В данной статье речь пойдет о нашем практическом опыте реализации данных требований.

Автор: Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”

Переход на отечественные решения в области защиты информации стал фактически неизбежен после ввода санкционных ограничений, повлекших уход с российского рынка иностранных производителей СЗИ. Прекращение технической поддержки иностранных средств, утрата сертификатов ФСТЭК России, отсутствие возможности получения актуальных обновлений приводят к снижению безопасности и эффективности системы защиты, в составе которой применяются иностранные решения. Аналогичная ситуация складывается и с импортозамещением систем промышленной автоматизации и ИТ-решений.

Но основным драйвером, безусловно, стало правовое регулирование в части обеспечения технологической независимости.

Теория...

В конце марта 2022 г. вышел Указ Президента Российской Федерации № 166. Вспомним основные его положения.

  • 31 марта 2022 г. введен прямой запрет на закупку иностранного ПО и ПАК для целей использования на значимых объектах КИИ заказчиков, которые осуществляют закупки согласно 223-ФЗ. Исключения допускаются только по согласованию с ФСТЭК России или ЦБ РФ.
  • С 1 января 2025 г. запрещается использование иностранного ПО и ПАК на ЗОКИИ.

В начале мая 2022 г. выходит Указ Президента Российской Федерации № 250, согласно которому с 1 января 2025 г. субъектам КИИ, системообразующим предприятиям, госорганам, госкорпорациям, стратегические предприятиям запрещается использовать СЗИ, произведенные в недружественных государствах либо организациями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними.

В середине ноября 2023 г. вступает в силу Постановление Правительства PФ № 1912, согласно которому в срок с 1 сентября 2024 г. по 1 января 2030 г. всем субъектам КИИ необходимо перейти на использование доверенных ПАК на ЗОКИИ. ПАК признается доверенным, если сведения о нем содержатся в едином реестре российской радиоэлектронной продукции [1], ПАК и ПО в составе ПАК имеют сертификаты ФСТЭК России и (или) ФСБ России (для средств защиты информации) [2], ПО в составе ПАК размещено в едином реестре российских программ для электронных вычислительных машин и баз данных или в едином реестре программ для ЭВМ и баз данных государств, которые являются участниками Евразийского экономического союза [3].

В качестве еще одного драйвера импортозамещения и использования доверенных ПАК стоит отметить приказ ФСТЭК России от 20.02.2020 № 35 к приказу № 239, п. 29.3, который предъявляет требования к безопасной разработке прикладного ПО. Он вступил в действие 01.01.2023 и, по сути, не дожидаясь 2030 г. уже косвенно запрещает использование иностранного ПО.

... и практика

Проект, о котором хочу рассказать, касается импортозамещения технических решений, используемых при построении системы защиты информации значимых объектов КИИ. Его цель – реализация требований по импортозамещению. Перед нашей командой были поставлены следующие задачи.

  1. Провести детальный анализ проектной документации на предмет выявления перечня технических средств, подлежащих замене. Причем в рассмотрение должны браться не только СЗИ, но и другие решения: активное и пассивное сетевое оборудование, серверы, ИБП, АКБ, платы релейных выходов, платы SNMP, KVM-консоли и многое другое.
  2. Провести анализ российского рынка ИТ и ИБ, подобрать для каждого типа не менее трех аналогов.
  3. Разработать технико-экономическое обоснование (ТЭО) для каждого класса технических средств. Применялась достаточно интересная методика оценки Gartner-Саати, согласно которой решения сравнивались по большому перечню параметров. В частности, оценивались функциональность, технологии, уровень сервиса и поддержки, устойчивость к политическим и экономическим санкциям, концепция развития, стоимостные характеристики с учетом инвестиционных затрат и операционных расходов.
  4. Провести стендовые испытания для подтверждения оценки, выполненной в ТЭО.
  5. Разработать итоговую спецификацию и сметную документацию.

Анализ проектной документации показал наличие большого количества иностранных решений от таких производителей, как Cisco, HP, Check Point, Schneider Electric, MOXA и др. Больше всего позиций в части сетевого оборудования занимали коммутаторы Cisco различных моделей, система управления Cisco ISE, промышленные медиаконвертеры MOXA, SFP-модули, межсетевые экраны.

Сложность подбора аналогов заключалась в следующем:

  • большая номенклатура иностранных решений (выявлено более четырехсот позиций);
  • для подтверждения производства промышленной продукции на территории РФ необходимо, чтобы оборудование находилось в реестре;
  • удорожание спецификации (реестровые позиции на 30% дороже).

Анализ рынка телекоммуникационного оборудования показал, что российских производителей не так уж и мало, но только двое готовы попытаться полностью заменить весь парк устройств. При этом удивило, что у крупного вендора при достаточно большой номенклатуре различных устройств отсутствуют свои медиаконвертеры и сильно ограничен выбор индустриальных коммутаторов. А производители с более скромными линейками телекоммуникационного оборудования смогли предложить неплохой выбор индустриальных моделей и медиаконвертеров.

В процессе реализации проекта мы пришли к следующим заключениям.

  1. Полноценную замену всего оборудования иностранного производства с условием наличия в реестре РЭП мы выполнить не сможем: российских KVM вообще не существовало на момент реализации проекта, а производители сетевого оборудования не смогли предложить аналог Cisco ISE.
  2. Переход на отечественные средства повышает стоимость спецификации, при этом российские решения уступают иностранным по функциональным характеристикам.
  3. Условие присутствия оборудования в РЭП на тот момент практически никто не мог выполнить, что мешало здоровой конкуренции и сильно ограничивало выбор.

Решение проблемы

Чтобы не жертвовать качеством и надежностью выбираемых средств, мы решили применить следующую логику выбора.

  1. Ослабить требование о присутствии решений в реестре. Теперь оно не является обязательным условием, но дает преимущество в выборе при сравнении через ТЭО. Оговорюсь, что мы применяли его только к вспомогательному оборудованию, не относящемуся к СЗИ для ЗОКИИ, и только если имела место безальтернативность в выборе решений. Кроме того, мы требовали официальное письмо от производителя о включении в реестр в ближайшей перспективе. В качестве дополнительного обстоятельства стоит отметить, что ПП–1912 на тот момент еще не вышло.
  2. В случае отсутствия на рынке российских решений рассматривали зарубежные аналоги из списка дружественных стран (например, KVM китайского производства).

Эти два допущения позволили нам выбрать средства и приступить к лабораторным испытаниям, целями которых были:

  • проверка на совместимость (российской ОС и СУБД с серверами, ПО с серверами, сетевого оборудования с трансиверами и медиаконвертерами);
  • подтверждение результатов экспертной оценки.

Все выбранные решения успешно прошли испытания.

Итоги проекта

Было принято решение: для телекоммуникационного оборудования рассматривать мультивендорные сборки, обязательно тестировать решения, проводить испытания на единой инфраструктуре в одинаковых условиях, проверять заявленный функционал и совместимость СЗИ с другими программными и аппаратными средствами. Таким образом мы смогли выбрать наиболее оптимальные средства для:

  • технологических сетей, с учетом специфики и требований к такому оборудованию (надежность, резервированное питание, защищенное исполнение корпуса, соответствие требованиям МЭК 61850-3);
  • сетей уровня предприятия, где требуется высокая производительность и пропускная способность.

Конечно, применение продукции от одного производителя с точки зрения обслуживания и управления удобнее, но как показал наш опыт, на базе решений одного вендора мы не сможем заменить всю номенклатуру, вдобавок потеряем в надежности и эффективности. Применение мультивендорных решений позволяют минимизировать риски зависимости от единого поставщика, в том числе с точки зрения сроков поставки.

Реализуемость ПП-1912

После вступления в силу ПП-1912 усложнился выбор программно-аппаратных комплексов для применения на значимых объектах КИИ, затруднился процесс обоснования применения решений, не входящих в единый реестр российской радиоэлектронной и не имеющих соответствующих сертификатов ФСТЭК России и (или) ФСБ России, – требуется доказательно показать отсутствие российских аналогов. В табл. 1 приведено общее видение проблематики выполнения требований ПП-1912 и путей их решения.

t1-Jan-17-2025-03-44-26-9722-PM


  1. https://gisp.gov.ru/pp719v2/pub/prod/rep/ 
  2. https://reestr.fstec.ru/reg3 
  3. https://reestr.digital.gov.ru/reestr/ 
Темы:КИИЭЛВИС-ПЛЮСЖурнал "Информационная безопасность" №6, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Из истории одного проекта по замене NGFW
    Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”
    Комплексный проект по созданию системы защиты объекта КИИ, о котором пойдет рассказ, стартовал до ввода в действие нормативно-правовой базы о технологической независимости, но к завершающей стадии проекта мы все же столкнулись с этими изменениями в законодательстве. Рассмотрим, каким образом удалось перестроить проект и преодолеть возникшие сложности в части использования решений класса NGFW.
  • Защита КИИ: уроки 2023 года
    Дмитрий Беляев, директор управления безопасности ООО “АБТ”
    2023 год стал годом значительных испытаний для российской критической инфраструктуры. Два крупных инцидента, произошедших в этот период, продемонстрировали уязвимость даже самых подготовленных организаций перед изощренными кибератаками. Эти случаи дают нам ценные уроки, которые помогут улучшить защиту КИИ в будущем.
  • Актуальные вопросы защиты КИИ в 2025 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В 2025 г. защита критической информационной инфраструктуры по-прежнему останется одной из приоритетных задач для организаций, работающих в ключевых отраслях экономики. Основные вызовы связаны с усилением требований регуляторов, необходимостью соблюдения новых нормативно-правовых требований, внедрением мер по импортозамещению в условиях ограниченного доступа к зарубежным технологиям и защитой от постоянно совершенствующихся компьютерных атак.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...