Тенденции импортозамещения и информационной безопасности госорганов
Опыт работы в области обеспечения безопасности информации и широкая география внедрения крупных проектов позволяют компании «КСБ-СОФТ» – разработчик в области информационной безопасности и защиты персональных данных, входит в группу компаний «Кейсистемс» – отследить изменения, происходящие на российском IT-рынке под влиянием процесса импортозамещения.
С целью анализа ситуации, связанной с политикой IT-импортозамещения в госсекторе, компания провела собственное исследование, в котором приняли участие 63 организации. Исследование базируется на опросе руководителей отделов защиты информации региональных органов исполнительной власти и включает в себя три блока вопросов, позволяющих выявить актуальные потребности органов государственной власти в вопросах замещения зарубежных программных продуктов отечественными решениями и в вопросах обеспечения информационной безопасности.
Доля респондентов, заинтересованных в решении вопроса импортозамещения, составила 55,6% от общего числа полученных ответов, что можно обозначить как тенденцию роста интереса к отечественным решениям у лиц в госорганах, принимающих решения по части IT.
В вопросе импортозамещения операционных систем (ОС) ожидаемо не выявлено очевидного лидера, поскольку на данный момент сложно говорить о решении, которое соответствовало бы всем требованиям госорганов. У ряда ОС есть положительный опыт внедрения, но это не означает, что они являются универсальными. Выбор РОСА, «Альт Линукс» и Astra Linux вызван рядом причин, в том числе тем, что данные операционные системы:
- сертифицированы в ФСТЭК России;
- включены в Единый реестр отечественного ПО;
- совместимы с «наложенными» средствами защиты информации;
- имеют положительный опыт внедрения в органах государственной власти субъектов Российской Федерации.
ОС применяются не только на серверах, но и на большом числе рабочих станций, на данный момент среди настольных систем нет явного лидера. Многие организации до сих пор не могут определиться с выбором.
Результаты изучения тенденций импортозамещения в сегменте ОС показывают, что позиции продукции Microsoft сохраняются в основном благодаря неготовности прикладного программного обеспечения и периферийного оборудования работать в среде иных операционных систем. За 2017 год закупки ОС Windows активно продолжались в форме поставки оборудования с предустановленной операционной системой, а также по соображениям совместимости с прикладным ПО.
Результаты анализа активно применяемых систем управления базами данных более однозначны и представлены на рисунке 1.
Наиболее популярной СУБД является Postgres Pro, что обусловлено следующими факторами:
- Postgres Pro разработана на основе свободно-распространяемой СУБД PostgreSQL;
- СУБД совместима с большим количеством ОС, в том числе с сертифицированными ОС Astra Linux, РОСА и «Альт Линукс»;
- Postgres Pro имеет версию продукта, сертифицированную во ФСТЭК России по требованиям руководящих документов РД СВТ по 5 классу, РД НДВ по 4 уровню и заявленным техническим условиям;
- поддержка продукта осуществляется на достаточно высоком профессиональном уровне.
Стоит отметить, что тренд по замене СУБД наметился еще до правительства РФ № 1236 от 16 ноября 2015 года «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». Министерство связи и массовых коммуникаций Российской Федерации и другие ведомства уже делали ставку на свободное распространение СУБД, в частности Postgres и MySQL.
Наличие сертифицированной версии Postgres Pro и совместимость с сертифицированными ОС дают значительное преимущество в использовании продукта в государственных информационных системах до 1 класса включительно и информационных системах персональных данных до 1 класса включительно в условиях нарастающей тенденции к импортозамещению. Также можно отметить большое количество примеров успешной миграции информационных систем на данную СУБД.
При изучении рынка по вопросу импортозамещения офисного программного обеспечения респондентам предлагалось обозначить заинтересованность к офисному программному обеспечению «МойОфис» или же обозначить иное офисное программное обеспечение. Анализ полученных анкет показал, что:
- доля рынка, которая рассматривает офисное ПО «МойОфис», составляет 35,7% от общего числа заинтересованных в офисном ПО;
- имеется интерес к свободно распространяемому офисному пакету LibreOffice;
- имеется потребность при выборе офисного ПО в проведении стендовых испытаний/опытной эксплуатации.
Алексей Беляев, представитель «МойОфис», отметил: «В настоящий момент идет активное развитие российского программного обеспечения, в первую очередь в том сегменте, который исторически был занят иностранными компаниями: программы для офиса и профессиональной работы.
Напомню, что согласно приказу Минкомсвязи «Об утверждении плана по импортозамещению программного обеспечения», закупка программного обеспечения, не включенного в Единый реестр российских программ, для муниципальных и государственных нужд ограничена и сопровождается наложением штрафов.
Продукты «МойОфис» достигли того уровня развития, который позволяет использовать их в большей части процессов, связанных с редактированием документов. Мы одними из первых вошли в реестр российского ПО и продолжаем активно расширять возможности платформы. Например, нами уже созданы механизмы интеграции с ведомственными информационными системами.
Вопрос импортозамещения в IT в целом непростой и предполагает адаптацию существующих процессов под новые продукты. А это требует большой вовлечённости сотрудников. В нескольких регионах у нас уже есть позитивный опыт системной работы по исследованию реальных потребностей пользователей с привлечением нескольких отечественных вендоров и результатами в виде создания региональных IT-стандартов.
Конечно, можно попробовать перейти на open source-решения: они бесплатны. Качай – ставь – пользуйся. Но у большинства таких продуктов нет понятного и гарантированного роадмапа, они не обеспечивают поддержку, необходимую государственным организациям, и никто не будет нести ответственность за работоспособность ваших бизнес-процессов».
Не секрет, что основным драйвером проектов по информационной безопасности является подготовка к проверкам регуляторов. Заинтересованность со стороны респондентов в подготовке к проверкам надзорных органов представлена на рисунке 2. Больше всего респондентов на данный момент интересует прохождение проверки ФСТЭК России.
Заинтересованность в применении основных организационных мер по защите персональных данных и информации, обрабатываемой в государственных информационных системах, представлена на рисунке 3.
Интерес со стороны респондентов к применению организационных мер по защите информации обусловлен необходимостью выполнения требований федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» и федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и принятых в соответствии с ними нормативно-правовых актов. В целом же интересы со стороны респондентов к выполнению мероприятий по вопросу применения организационных мер по защите информации находятся примерно на одном уровне. Это обуславливается тем, что данные мероприятия входят в базовый набор мероприятий по обеспечению безопасности информации.
Следует отметить, что со вступлением в силу постановления правительства РФ от 11.05.2017 №555, внесшего изменения в постановление правительства РФ от 06.07.2015 №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», наблюдается тенденция к росту потребности в подготовке и согласовании моделей угроз и технических заданий со ФСТЭК России и ФСБ России в части, касающейся создания/модернизации систем защиты информации государственных информационных систем. Отдельное внимание респонденты уделяют мероприятиям по регламентации взаимодействия с иными информационными системами.
Заинтересованность в применении основных технических мер для обеспечения соответствия требованиям по защите персональных данных и информации представлена на рисунке 4.
В вопросе применения основных технических мер по защите информации тенденция к использованию «классических» сертифицированных средств защиты информации остаётся неизменной. Это:
- средства защиты информации от несанкционированного доступа на рабочих местах и серверах информационной системы;
- средства антивирусной защиты;
- средства межсетевого экранирования;
- средства организации VPN-сетей;
- системы обнаружения вторжений.
Внедрение иных средств защиты информации по большей части обусловливается специфической IT-инфраструктурой респондентов, к примеру, наличием системы виртуализации.
Одновременно результаты анкетирования показывают, что респонденты недостаточно уделяют внимание проектированию системы защиты информации и стендовым испытаниям средств защиты информации. Ошибки, допущенные при проектировании системы защиты информации, могут негативно сказаться на всем процессе внедрения и повлечь значительные финансовые потери для организации. Стендовые испытания защитных комплексов значительно снижают риски некорректного внедрения системы защиты информации и возникновения негативных последствий, а также влияют на скорость внедрения системы защиты информации.
Стендовые испытания – обязательный этап перехода госорганов на российское программное обеспечение. В Ростовской области активно практикуют пилотные проекты в рамках импортозамещения, то есть закупают программные продукты не по рекомендации, а непосредственно изучив их на практике, опробовав на своих действующих информационных системах.
Начальник управления информационной инфраструктуры Министерства информационных технологий и связи Ростовской области Юрий Емельянов поделился опытом осуществления стендовых испытаний в регионе:
«Для качественной проверки программных продуктов было выбрано пять региональных органов исполнительной власти и пять органов муниципального образования, назначены ответственные. После внедрения программных решений в учреждения было начато наблюдение над тем, как они стыкуются с системами, как работают, каким образом происходит взаимодействие с ГИС и СЭД. Все обнаруженные недоработки отправлялись разработчикам на исправление. Таким образом мы пилотировали «МойОфис», «Альт Линукс», «АльфаДок», BellChat. Проект длился год, его реализация продолжается и по сегодняшний день.
Разработчики благодарны нам за возможность совершенствовать свои продукты в соответствии с потребностями пользователей, исправлять ошибки, становиться ближе к готовому решению. Это успешное взаимодействие, опыт которого, надеюсь, облегчит внедрение в других регионах.
Хотелось бы посоветовать всем организациям, имеющим в рамках импортозамещения план с указанием к переходу на то или иное ПО или ОС, обязательно провести пилот, проверить совместимость систем – это поможет принять взвешенное решение о покупке продукта, адаптированного под нужды учреждения».
Анализ приоритетности использования средств защиты информации демонстрирует существенный перевес в пользу «накладных» СЗИ. Такое предпочтение, вероятно, вызвано тем, что:
- на рынке представлен достаточно большой выбор «накладных» сертифицированных средств защиты информации;
- отсутствуют сертифицированные версии продуктов, предназначенных для выполнения функций основной деятельности организации;
- используются импортные операционные системы, СУБД, офисное ПО, среды виртуализации и т.д., не имеющие сертификатов соответствия ФСТЭК России и ФСБ России.
Большинство респондентов видят оптимизацию технической площадки посредством закупки рабочих станций (рисунок 5):
Как видно из графика, использованию облачных сервисов в оптимизации технической площадки уделяется пока недостаточно внимания, в то время как облачные сервисы могут значительно облегчить управление организационно-техническими мероприятиями по защите информации в организации.
Максим Сорокин, заместитель генерального директора ООО «КСБ-СОФТ», подчеркивает: «Опыт внедрения нашего программного комплекса в различные организации показывает, насколько проще становится в результате создавать необходимый пакет организационно-распорядительной документации и поддерживать его в соответствии с актуальными требованиями законодательства. Функционал по обработке и защите персональных данных, по защите информации в ГИС, по эксплуатации криптосредств позволяет руководителям верхнего звена сформировать единую концепцию безопасности, а после — контролировать выполнение задач во всей подведомственной сети. Начальники отделов и служб могут грамотно выработать необходимую техническую документацию. Менеджеры среднего звена могут использовать в своей работе количественные показатели оценки информационной безопасности».
По вопросу технического сопровождения средств защиты информации, в целом респонденты предпочитают полностью самостоятельно сопровождать СЗИ (рисунок 6).
Наблюдается тенденция повышения необходимости качественной составляющей IT-решений в области обеспечения безопасности веб-ресурсов (рисунок 7):
Наличие интереса респондентов в данном направлении объясняется, вероятнее всего:
- широким распространением веб-технологий при создании программного обеспечения, предназначенного для выполнения возложенных на органы власти функций, полномочий и обязанностей в части открытости данных;
- существенным ростом кибератак в 2017 году, когда вирусы атаковали крупнейшие отечественные компании и СМИ: вредоносные программы шифровали файлы, а за расшифровку требовали выкуп.
На фоне роста киберугроз, значимая часть которых реализуется путём воздействия на пользователей информационной системы, обучение сотрудников становится ключевым условием построения информационной безопасности организации (рисунок 8). Для респондентов наиболее актуально повышение квалификации ответственных лиц по программам, согласованным со ФСТЭК России, а также участие в обучающих семинарах/вебинарах и обучение администраторов применению средств защиты информации.
Интересно отметить, что по результатам 2017 года многие региональные информатизаторы заявили о создании и развитии систем кадрового учета с функционалом удалённого обучения и тестирования государственных служащих.
Исходя из результатов исследования можно констатировать, что развитие нормативно-правового поля в области импортозамещения активно продолжается. В то же время обнаруживаются некоторые риски, которые стоит обязательно учитывать в рамках масштабного процесса IT-замещения.
Наибольшие сложности вызывают вопросы импортозамещения настольных ОС. Это в первую очередь может быть обусловлено сильной зависимостью абсолютного большинства прикладного программного обеспечения от операционных систем Windows. Также из основных рисков реализации планов импортозамещения можно выделить отсутствие на отечественном рынке полных аналогов импортных IT-продуктов, их значительные отличия в функциональности и удобстве пользования, а также возможность сбоев и потерь данных при миграции на импортонезависимые платформы.
Таким образом, составление и реализация планов/стратегий импортозамещения не может быть только организационным мероприятием, поскольку оно неразрывно связано с техническим пилотированием и стендовыми испытаниями предполагаемых к внедрению импортонезависимых решений, а следовательно, и сами планы должны корректироваться по результатам таких мероприятий.
Интересны выводы из наблюдений за финансовой составляющей вопроса: возможны случаи большей экономической эффективности обновления импортного ПО, чем внедрение импортонезависимых решений; но наблюдается и обратная ситуация – когда экономическая эффективность эксплуатации информационных систем повышается за счёт перехода на российское программное обеспечение.
Позитивным аспектом можно считать то, что сотрудничать с отечественными производителями программного обеспечения проще и понятнее: таким образом можно более значимо влиять на развитие продуктов.
Также стоит отметить необходимость постоянного взаимодействия организаций с производителями информационных систем по вопросам, связанным с реализацией требований по импортозамещению в продуктовой линейке.
В области информационной безопасности основными направлениями остаются вопросы обеспечения безопасности государственных информационных систем и персональных данных, в том числе по причине усиления контрольно-надзорной деятельности регуляторов в данной области – ФСТЭК России, ФСБ России, Роскомнадзора.
Важно отметить, что многие государственные органы осознают, что информационная безопасность не разовое мероприятие, а регулярный процесс: это подтверждается востребованностью актуализации организационных мероприятий и периодического контроля эффективности применяемых мер защиты. В целом процесс развития информационных систем и систем защиты становится более регламентированным, в том числе вследствие нормативного регулирования данных вопросов.
Отдельным актуальным вопросом можно считать четкое регламентирование и распределение ответственности при организации информационного взаимодействия между информационными системами и при поручении обработки персональных данных.
Важно также отметить понимание значительного развития векторов атак, прежде всего на веб-системы. Вследствие этого многие организации заинтересованы в применении специальных технических средств (веб-файерволы, системы обнаружения и предотвращения вторжений и др.), в проведении тестирования на проникновение и выстраивании процессов экспертного технического сопровождения подсистем информационной безопасности, а также в мониторинге и расследовании инцидентов информационной безопасности. Приятно отметить, что в делегировании таких чувствительных процессов организации многие госорганы, наиболее активно использующие другие продукты группы компаний «Кейсистемс», проявляют к ним наибольшую степень доверия.
Одним из самых значимых результатов исследования является осознание важности высокого уровня квалификации ответственных за информационную безопасность сотрудников, а также соблюдения кибергигиены всеми пользователями информационных систем. С этим связана большая заинтересованность в программах обучения, согласованных со ФСТЭК России, и участие в обучающих системных информационных вебинарах/семинарах.
Источник: d-russia.ru