УДК 004.056

Цифровая трансформация информационной безопасности критической информационной инфраструктуры в условиях импортозамещения

Вершинин Александр Николаевич – ведущий специалист группы по информационной безопасности АО «НПО Лавочкина».

Аннотация: В статье рассматривается цифровая трансформация процесса обеспечения информационной безопасности критической информационной инфраструктуры Российской Федерации в условиях импортозамещения. На фоне последних политических событий стратегия импортозамещения, направленная на повышение конкурентоспособности отечественного программного обеспечения путем замещения импортируемых информационно-телекоммуникационных технологий российскими аналогами, является наиболее актуальной. Стратегия импортозамещения позволит изменить сложившуюся ситуацию, снизить зависимость страны от импорта и развить собственные разработки средств защиты информационных ресурсов, объектов критической информационной инфраструктуры (далее – ОКИИ) Российской Федерации.

Ключевые слова: информационная безопасность, защита информации, объекты критической информационной инфраструктуры, программное обеспечение, информационные технологии, цифровая трансформация, импортозамещение.

Обеспечение надежного уровня защищенности информационных ресурсов в условиях цифровой трансформации всех сфер жизни общества является серьёзной проблемой, для решения которой необходимо оперативное принятие эффективных мер. Цифровая трансформация выделена как одна из приоритетных национальных целей, которые обозначены в Указе Президента Российской Федерации от 21.07.2020 г. № 474. Важность и целесообразность проведения цифровой трансформации рассмотрена в национальной программе «Цифровая экономика». Данный нацпроект предусматривает активную замену иностранного программным обеспечением (далее – ПО) российскими разработками. Согласно целям и задачам, приведенным в паспорте нацпроекта, органам власти необходимо каждый год увеличивать объем используемого отечественного ПО на 5% и к 2024 году достичь показателя в 90%, а для остальных государственным организациям данный показатель должен вырасти до 70% за отчетный период.

Стоит отметить, что цифровая трансформация тесно связана с более значимым проектом по импортозамещению, реализуемому в области информационно-телекоммуникационных (далее – ИТ) технологий, в частности, объектов критической информационной инфраструктуры (далее – ОКИИ) Российской Федерации.

В данный момент вопрос цифровой трансформации в условиях импортозамещения в данной области становится крайне сложным ввиду ряда причин, основными из которых можно выделить следующие:

• недостаточная проработанность нормативно-правовой базы, необходимой для более ясного понимания целей, принципов и, требующих оперативного решения, задач;
• устаревшая техническая и технологическая база, необходимая для создания эффективных и функциональных элементов, которые входят в состав ИТ-продуктов;
• отсутствие полнофункциональных ИТ-решений, которые могли бы полностью исключить использование зарубежных аналогов;
• международная обстановка, характеризующаяся повышенным санкционным давлением на экономику государства и увеличением затрат на безопасную и достойную жизнь граждан.

Все эти причины снижают экономический, технический и производственный потенциал страны. Поэтому на первый план и выходят вопросы импортозамещения и обеспечения независимости в области ИТ-технологий, в частности, ОКИИ Российской Федерации.

С января 2016 года согласно Постановлению Правительства Российской Федерации № 1236, принятого16.11.2015 г., вводится запрет на приобретение и использование ПО иностранных разработчиков. Данный вопрос получил развитие после появления 1.04.2015 г. Приказа № 96 Минкомсвязи Российской Федерации. Именно эти два распорядительных документа составили основу для принятого 30.03.2022 г. Указа Президента Российской Федерации от №166, который запрещает с января 2025 года использовать ПО и оборудование иностранных производителей на ОКИИ. Это означает необходимость для субъектов КИИ, к которым принадлежат ОКИИ, обеспечить к указанному сроку преимущественное использование, в случае невозможности полного перехода, на отечественное программное и техническое обеспечение. При этом основные положения нормативно – правовых актов не направлены на безусловное использование и замену всего иностранного ПО и оборудования. Преимущественное использование означает, что при выборе между аналогичным российским и иностранным ПО и оборудованием, в приоритете должно быть российское ПО и оборудование. Исключения возникают в двух случаях:

• если в едином реестре российских программ для электронных-вычислительных машин (далее – ЭВМ) и баз данных (далее – перечень российского ПО) и едином реестре программ для ЭВМ и БД евразийского экономического союза (далее – евразийский перечень ПО) отсутствуют программные продукты такого же класса, что и планируемое к приобретению ПО;
• если решения, включенные в российский и евразийский перечни, не соответствуют функциональным или техническим характеристикам, которые заказчик предъявляет к необходимому ПО для решения поставленных задач.

Сложившаяся на сегодняшний день ситуация, должна, ускорить темпы импортозамещения в области КИИ, для достижения этой цели существуют все условия.

Во-первых, в перечне российского ПО, по данным Минцифры России, насчитывается порядка пятнадцать тысяч программных продуктов от пяти тысяч отечественных компаний-разработчиков, а в евразийском перечне – семьдесят программ от девятнадцати компаний-правообладателей.

Во-вторых, по причине приостановки или полного прекращения деятельности в России значительного числа ведущих иностранных ИТ-компаний: Apple, Oracle, Dell Technologies, Adobe, Cisco, AMD, Intel, VMware, IBM, Microsoft и др., что усложняет приобретение их технических решений российскими потребителями, а также решение вопросов по обновлению и обслуживанию ранее приобретенных продуктов.

Эти два важнейших условия сами по себе должны послужить серьезным стимулом для ускоренного перехода от иностранного ПО к российским решениям, используемых в различных сферах жизни общества. При этом информационная безопасность (далее – ИБ), в частности ОКИИ Российской Федерации, – одна из приоритетных задач. Стоит отметить, что уже практически полностью состоялось импортозамещение решений в некоторых областях ИБ – в части антивирусного ПО, например, – полностью используются отечественные разработки, и этот процесс активно идет во всех направлениях. Ведущие компании – разработчики антивирусного ПО и средств защиты от НСД отмечают, что за последние месяцы интерес к их продуктовым линейкам, обеспечивающим защиту интернет-шлюзов и почтовых серверов, вырос в пять раз, защиту от DDoS-атак и целевых атак – в три раза, а количество обращений по функционированию SIEM-систем увеличилось в несколько раз. По сравнению с аналогичным периодом прошлого года общее число запросов, связанных с переходом на ИТ-решения российских компаний-разработчиков, возросло в восемьдесят пять раз.

По мнению экспертов ИТ-отрасли, у отечественных потребителей сложностей с заменой системного ПО проблем возникнуть не должно, так как разработчики предлагают качественные операционные системы (далее – ОС), системы управления БД и среды разработки. Однако если российские ОС, например, сейчас применяются органами власти и государственными компаниями, реализующими, планы по формированию автоматизированных рабочих мест на базе российских технических и программных решений, то от систем иностранных компаний - разработчиков, таких как ERP, пока не все пользователи готовы отказаться, несмотря на угрозу потери информации.

По причине ухода с российского рынка мировых иностранных представителей ИТ-отрасли стоит отметить огромный интерес к свободно-распространяемому ПО. Под свободно-распространяемым ПО, понимается ПО с открытым исходным кодом (далее – OS от англ. Open Source software), который можно использовать для создания новых программных продуктов. Нужно поддерживать российских разработчиков, которые работают со свободно-распространяемым ПО, разбираются в нем, дорабатывают, вносят созданные на его основе продукты в реестр российского ПО и несут за него ответственность. Тем же, кто строит или уже построил свои решения на свободно-распространяемом ПО, важно понять, в какой зоне риска они находятся, возможно, тоже необходимо провести диверсификацию, чтобы не потерять контроль над свободно-распространяемым ПО. Так как продукт, разработанный на основе свободно-распространяемым ПО вам не принадлежит, то некоторые компании-разработчики такого ПО впоследствии заявляют, что продукт принадлежит им, и не дают его использовать или меняют лицензию. Также, говоря о свободно-распространяемым ПО, представители ИТ-компаний отмечают важность создания российской базы OS-продуктов. Из официальных источников Минцифры России, министерством, уже обсуждается разработка российского аналога GitHub (крупнейший сервис с базой свободно-распространяемым ПО), который должен быть запущен до конца текущего года. Кроме того, в ближайшее время планируются публикации под открытой лицензией ПО, находящегося в собственности государства.

С 1 января 2025 г. года органам власти, государственным фондам, государственным компаниям и иным организациям, созданным на основании федеральных законов, а также стратегическим предприятиям, системообразующим организациям являющимися субъектами КИИ юридическим лицам (далее – органы и организации) будет запрещено пользоваться СЗИ, в качестве производителей которых выступают иностранные государства. Запрет установлен Указом Президента Российской Федерации от 01.05.2022 г. № 250. Уже сейчас вышеупомянутые предприятия должны создать собственные подразделения по защите информации, в том числе отвечающие за обнаружение, предупреждение, реагирование и ликвидацию последствий инцидентов ИБ. Причем за состояние ИБ руководители вышеперечисленных предприятий несут личную ответственность.

Следовательно, разработка и реализация эффективных мер ИБ для государственных организаций и компаний становится обязанностью, закрепленной в нормативно-правовых актах Российской Федерации.

С учетом сложившейся ситуации условия, предоставления государственных субсидий на применение отечественных ИТ-решений в рамках проведения цифровой трансформации, как одного из этапов национального проекта «Цифровая экономика», становятся проще. Максимальная объем финансирования, выделяемого на разработку, а также внедрение российских ИТ-решений (с учетом выбранного курса на импортозамещение), предоставляемых Российским фондом развития информативных технологий в соответствии с Постановлением Правительства Российской Федерации № 550, принятого 3.05.2019 г., увеличилась с трехсот до пятисот миллионов рублей, а минимальный – составляет двадцать миллионов. Под реализацию наиболее важных проектов, которые снизят вероятность появления рисков и призваны предотвращать последствия от санкционных иностранных мер, а также обеспечивать высокую скорость развития ИТ-отрасли в России может быть выделена сумма до шести миллиардов рублей. За формирование перечня таких проектов и его утверждение отвечают эксперты Минцифры России,

Рассматривая процесс импортозамещения в области ИТ технологий, в частности, ОКИИ Российской Федерации, стоит отметить, что он, значительно увеличил темпы развития, однако до сих пор носит вялотекущий характер – заменяются отдельные технические решения, так как сейчас необходимо обеспечить защиту от кибератак, не допустив уменьшения темпов производственных процессов. Однако окончательный переход к созданию ИТ-решений, разработке и использованию цифровых экосистем, в основе которых лежат исключительно отечественные программные платформы, пройдут все российские пользователи, в этом представители отрасли не сомневаются. Для органов и организации, это будет установленным и нормативно закрепленным требованием, а остальные организации к состоянию полного импортозамещения ПО должно подтолкнуть отношение иностранных компаний-разработчиков, которые, уже сейчас, отказываются не только от продажи своих программных продуктов на российском рынке, но и перестают обслуживать уже приобретенные ИТ-решения.

В связи с этим перед российскими разработчиками сейчас стоит важнейшая цель – создать новые или доработать уже имеющиеся технологии таким образом, чтобы они обладали максимально полным функционалом и интуитивно понятным интерфейсом, были совместимы друг с другом и отличались доступной ценой. Для достижения поставленных целей необходимо не только время и производственные ресурсы, но также взаимосвязь пользователей и разработчиков. Последние просят не отказываться от предложенных ИТ-решений ввиду отсутствия всех нужных функций, отмечая, что готовы их совершенствовать.

Список литературы

1. Указ Президента Российской Федерации от 21.07.2020 № 474 «О национальных целях развития Российской Федерации на период до 2030 года» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 01.05.2023.
2. Указ Президента Российской Федерации от 07.05.2018 № 204 «О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 01.05.2023.
3. Постановлению Правительства Российской Федерации от 16.11.2015 №1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 01.05.2023).
4. Приказ Минкомсвязи Российской Федерации от 01.04.2015 № 96 «Об утверждении плана импортозамещения программного обеспечения» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 02.05.2023).
5. Указ Президента Российской Федерации от 30.03.2022 №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 02.05.2023).
6. Указ Президента Российской Федерации от 01.05.2022 г. № 250 ««О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 02.05.2023).
7. Постановление Правительства Российской Федерации от 3.05.2019 № 550 «Об утверждении Правил предоставления субсидии из федерального бюджета Российскому фонду развития информационных технологий на поддержку проектов по разработке и внедрению российских решений в сфере информационных технологий» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 02.05.2023).