О практике реализации требований о технологической независимости согласно указу № 166 и ПП-1912

Тема обеспечения технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации не нова, по ней существует множество публикаций, комментариев экспертов, обсуждений в тематических каналах. В данной статье речь пойдет о нашем практическом опыте реализации данных требований.

Автор: Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”

Переход на отечественные решения в области защиты информации стал фактически неизбежен после ввода санкционных ограничений, повлекших уход с российского рынка иностранных производителей СЗИ. Прекращение технической поддержки иностранных средств, утрата сертификатов ФСТЭК России, отсутствие возможности получения актуальных обновлений приводят к снижению безопасности и эффективности системы защиты, в составе которой применяются иностранные решения. Аналогичная ситуация складывается и с импортозамещением систем промышленной автоматизации и ИТ-решений.

Но основным драйвером, безусловно, стало правовое регулирование в части обеспечения технологической независимости.

Теория...

В конце марта 2022 г. вышел Указ Президента Российской Федерации № 166. Вспомним основные его положения.

• 31 марта 2022 г. введен прямой запрет на закупку иностранного ПО и ПАК для целей использования на значимых объектах КИИ заказчиков, которые осуществляют закупки согласно 223-ФЗ. Исключения допускаются только по согласованию с ФСТЭК России или ЦБ РФ.
• С 1 января 2025 г. запрещается использование иностранного ПО и ПАК на ЗОКИИ.

В начале мая 2022 г. выходит Указ Президента Российской Федерации № 250, согласно которому с 1 января 2025 г. субъектам КИИ, системообразующим предприятиям, госорганам, госкорпорациям, стратегические предприятиям запрещается использовать СЗИ, произведенные в недружественных государствах либо организациями под их юрисдикцией, прямо или косвенно подконтрольными им либо аффилированными с ними.

В середине ноября 2023 г. вступает в силу Постановление Правительства PФ № 1912, согласно которому в срок с 1 сентября 2024 г. по 1 января 2030 г. всем субъектам КИИ необходимо перейти на использование доверенных ПАК на ЗОКИИ. ПАК признается доверенным, если сведения о нем содержатся в едином реестре российской радиоэлектронной продукции [1], ПАК и ПО в составе ПАК имеют сертификаты ФСТЭК России и (или) ФСБ России (для средств защиты информации) [2], ПО в составе ПАК размещено в едином реестре российских программ для электронных вычислительных машин и баз данных или в едином реестре программ для ЭВМ и баз данных государств, которые являются участниками Евразийского экономического союза [3].

В качестве еще одного драйвера импортозамещения и использования доверенных ПАК стоит отметить приказ ФСТЭК России от 20.02.2020 № 35 к приказу № 239, п. 29.3, который предъявляет требования к безопасной разработке прикладного ПО. Он вступил в действие 01.01.2023 и, по сути, не дожидаясь 2030 г. уже косвенно запрещает использование иностранного ПО.

... и практика

Проект, о котором хочу рассказать, касается импортозамещения технических решений, используемых при построении системы защиты информации значимых объектов КИИ. Его цель – реализация требований по импортозамещению. Перед нашей командой были поставлены следующие задачи.

1. Провести детальный анализ проектной документации на предмет выявления перечня технических средств, подлежащих замене. Причем в рассмотрение должны браться не только СЗИ, но и другие решения: активное и пассивное сетевое оборудование, серверы, ИБП, АКБ, платы релейных выходов, платы SNMP, KVM-консоли и многое другое.
2. Провести анализ российского рынка ИТ и ИБ, подобрать для каждого типа не менее трех аналогов.
3. Разработать технико-экономическое обоснование (ТЭО) для каждого класса технических средств. Применялась достаточно интересная методика оценки Gartner-Саати, согласно которой решения сравнивались по большому перечню параметров. В частности, оценивались функциональность, технологии, уровень сервиса и поддержки, устойчивость к политическим и экономическим санкциям, концепция развития, стоимостные характеристики с учетом инвестиционных затрат и операционных расходов.
4. Провести стендовые испытания для подтверждения оценки, выполненной в ТЭО.
5. Разработать итоговую спецификацию и сметную документацию.

Анализ проектной документации показал наличие большого количества иностранных решений от таких производителей, как Cisco, HP, Check Point, Schneider Electric, MOXA и др. Больше всего позиций в части сетевого оборудования занимали коммутаторы Cisco различных моделей, система управления Cisco ISE, промышленные медиаконвертеры MOXA, SFP-модули, межсетевые экраны.

Сложность подбора аналогов заключалась в следующем:

• большая номенклатура иностранных решений (выявлено более четырехсот позиций);
• для подтверждения производства промышленной продукции на территории РФ необходимо, чтобы оборудование находилось в реестре;
• удорожание спецификации (реестровые позиции на 30% дороже).

Анализ рынка телекоммуникационного оборудования показал, что российских производителей не так уж и мало, но только двое готовы попытаться полностью заменить весь парк устройств. При этом удивило, что у крупного вендора при достаточно большой номенклатуре различных устройств отсутствуют свои медиаконвертеры и сильно ограничен выбор индустриальных коммутаторов. А производители с более скромными линейками телекоммуникационного оборудования смогли предложить неплохой выбор индустриальных моделей и медиаконвертеров.

В процессе реализации проекта мы пришли к следующим заключениям.

1. Полноценную замену всего оборудования иностранного производства с условием наличия в реестре РЭП мы выполнить не сможем: российских KVM вообще не существовало на момент реализации проекта, а производители сетевого оборудования не смогли предложить аналог Cisco ISE.
2. Переход на отечественные средства повышает стоимость спецификации, при этом российские решения уступают иностранным по функциональным характеристикам.
3. Условие присутствия оборудования в РЭП на тот момент практически никто не мог выполнить, что мешало здоровой конкуренции и сильно ограничивало выбор.

Решение проблемы

Чтобы не жертвовать качеством и надежностью выбираемых средств, мы решили применить следующую логику выбора.

1. Ослабить требование о присутствии решений в реестре. Теперь оно не является обязательным условием, но дает преимущество в выборе при сравнении через ТЭО. Оговорюсь, что мы применяли его только к вспомогательному оборудованию, не относящемуся к СЗИ для ЗОКИИ, и только если имела место безальтернативность в выборе решений. Кроме того, мы требовали официальное письмо от производителя о включении в реестр в ближайшей перспективе. В качестве дополнительного обстоятельства стоит отметить, что ПП–1912 на тот момент еще не вышло.
2. В случае отсутствия на рынке российских решений рассматривали зарубежные аналоги из списка дружественных стран (например, KVM китайского производства).

Эти два допущения позволили нам выбрать средства и приступить к лабораторным испытаниям, целями которых были:

• проверка на совместимость (российской ОС и СУБД с серверами, ПО с серверами, сетевого оборудования с трансиверами и медиаконвертерами);
• подтверждение результатов экспертной оценки.

Все выбранные решения успешно прошли испытания.

Итоги проекта

Было принято решение: для телекоммуникационного оборудования рассматривать мультивендорные сборки, обязательно тестировать решения, проводить испытания на единой инфраструктуре в одинаковых условиях, проверять заявленный функционал и совместимость СЗИ с другими программными и аппаратными средствами. Таким образом мы смогли выбрать наиболее оптимальные средства для:

• технологических сетей, с учетом специфики и требований к такому оборудованию (надежность, резервированное питание, защищенное исполнение корпуса, соответствие требованиям МЭК 61850-3);
• сетей уровня предприятия, где требуется высокая производительность и пропускная способность.

Конечно, применение продукции от одного производителя с точки зрения обслуживания и управления удобнее, но как показал наш опыт, на базе решений одного вендора мы не сможем заменить всю номенклатуру, вдобавок потеряем в надежности и эффективности. Применение мультивендорных решений позволяют минимизировать риски зависимости от единого поставщика, в том числе с точки зрения сроков поставки.

Реализуемость ПП-1912

После вступления в силу ПП-1912 усложнился выбор программно-аппаратных комплексов для применения на значимых объектах КИИ, затруднился процесс обоснования применения решений, не входящих в единый реестр российской радиоэлектронной и не имеющих соответствующих сертификатов ФСТЭК России и (или) ФСБ России, – требуется доказательно показать отсутствие российских аналогов. В табл. 1 приведено общее видение проблематики выполнения требований ПП-1912 и путей их решения.

1. https://gisp.gov.ru/pp719v2/pub/prod/rep/ 
2. https://reestr.fstec.ru/reg3 
3. https://reestr.digital.gov.ru/reestr/