Журнал "Information Security/ Информационная безопасность" #4, 2024

Так как решения, идущие взамен зарубежным, являются новыми (по край- ней мере для работников конкретного субъекта КИИ), практически у всех отсут- ствует необходимое количе- ство персонала, способного их внедрять и администри- ровать. Импортозамещение выступает одним из ключевых способов достижения независи- мости и напрямую влияет на деятельность множества организаций, эконо- мику страны в целом, а также на защищенность КИИ. Кто должен заниматься импортозамещением КИИ? На первый взгляд кажется, что импортозамещением долж- ны заниматься все субъекты КИИ, но это не совсем так (см. табл.). Таким образом, все субъекты КИИ обязаны выполнить тре- бования, перечисленные в пп. 1 и 3 данной таблицы, а большая часть субъектов КИИ еще и требования п. 2 (не все субъекты КИИ являются "отдельными видами юридиче- ских лиц"). Как выполнять требования по импортозамещению? Алгоритм импортозамещения как для программного обес- печения (в том числе средств защиты), так и для программ- но-аппаратных комплексов, которые тоже могут быть сред- ствами защиты информации, одинаков и достаточно прост. Он включает в себя всего три шага. l Шаг 1. Провести инвентари- зацию используемых на объектах КИИ компонентов, требующих импортозамещения. l Шаг 2. Разработать и утвер- дить план перехода на дове- ренные компоненты. l Шаг 3. Реализовать "свой" план – осуществить переход в установленный срок (до 01.01.2025 г. и до 01.01.2030 г.) Вроде бы алгоритм прост, сроки вполне реальны, но на практике в ходе его реализации возникает множество нюансов, препятствующих бесшовному и быстрому импортозамещению. А множество экспертов отрасли считают, что осуществить импортозамещение в указан- ные сроки нереально. Что мешает (быстрому) импортозамещению на объектах КИИ? Ограниченные ресурсы Бюджет и штатная числен- ность персонала у всех субъек- тов КИИ ограничены. Бюджеты подразделений информацион- ных технологий и безопасности (в том числе информационной) обычно находятся в интервале от 5 до 15% бюджета организа- ции (всех названных подразде- лений), что, естественно, не позволяет в сжатые сроки проводить замену всей или большей части информацион- ной инфраструктуры, которая может насчитывать до несколь- ких тысяч объектов 1 . Помимо фиксированного количества работников в штате, на текущий момент есть еще проблема с квалификацией. Так как решения, идущие взамен зарубежным, являются новыми (по крайней мере для работни- ков конкретного субъекта КИИ), практически у всех отсутствует необходимое количество пер- сонала, способного их внедрять и администрировать. При этом вендоры и интеграторы нахо- дятся в такой же ситуации – ввиду большого количества заказов они так же ощущают нехватку специалистов и, как правило, не могут выделить нужный объем заказчику. Непрерывный цикл производ- ства Чтобы произвести замену компонентов на объекте КИИ, являющемся автоматизирован- 10 • В ФОКУСЕ Что мешает быстрому импор- тозамещению на объектах критической информационной инфраструктуры? беспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям. О Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности Фото: Константин Саматов 2 Здесь прежде всего речь идет о выполнении требования по прекращению использования зарубежных (“недружественных") средств защиты, которое касается всех объектов инфраструктуры, а не только критических