Журнал "Information Security/ Информационная безопасность" #4, 2024

Замена импортных реше- ний на отечественные обыч- но связана с рядом трудно- стей, например, невозможно сразу подобрать по характе- ристикам необходимый заменитель, взять и заме- нить. Большинство отечествен- ных продуктов недоработа- ны, к тому же у них отсут- ствует подробная докумен- тация, и все это часто сопровождается медленной и не особо компетентной техподдержкой. Опасение вызывает отсутствие удовлетворяю- щих по функциональным характеристикам решений, созданных для замены импортных и слабая клиен- тоориентированность неко- торых вендоров. в отдельной специализирован- ной разработке: нужно на заказ разрабатывать программное обеспечение под отечественную перационную систему, выпол- няющее необходимый функцио- нал. Сложность замены встроенных средств защиты на наложен- ные в автоматизированных системах управления Требование (см. табл.) по пре- кращению использования зару- бежных ("недружественных") средств защиты информации касается не только наложенных, но и встроенных средств. Отказ от встроенных средств защиты и замена на наложенные в авто- матизированных системах управления – непростая задача. Основное правило применения наложенных средств защиты, существовавшее ранее, гласи- ло: прежде чем применять нало- женные средства защиты, необходимо заключение (согла- сование) от производителя (раз- работчика) автоматизированной системы управления. В сего- дняшних реалиях получить такое заключение не всегда возможно, поэтому для оценки возможности применения нало- женных средств защиты необхо- димо самостоятельно (или с привлечением подрядчика) проводить такое тестирование. По сути, данный факт, с учетом того что требование касается всех объектов информационной инфраструктуры (а не только критических), делает невозмож- ным реализацию данного тре- бования в больших инфраструк- турах, насчитывающих несколь- ко тысяч объектов, в установ- ленный срок: май 2022 г. – декабрь 2024 г. Длительный цикл внедрения Автоматизированные (инфор- мационные) системы обычно при внедрении проходят несколько стадий (проектиро- вание, внедрение, испытания, опытную эксплуатацию), кото- рые могут занимать несколько лет. Кроме того, замена импорт- ных решений на отечественные обычно связана с рядом труд- ностей, например, невозможно сразу подобрать по характери- стикам необходимый замени- тель, взять и заменить. Перед заменой обязательно нужно проводить предварительное тестирование и апробацию решений для проверки соответ- ствия требованиям к функцио- нальности, надежности и без- опасности этих решений (так называемые пилотные внедре- ния). В противном случае можно столкнуться с ситуацией, когда замещаемый продукт не будет работать в инфраструктуре. На практике для подбора нор- мально работающего решения, как правило, требуется прове- дение нескольких пилотных внедрений. Некачественные отечествен- ные наложенные средства защиты Большинство отечественных продуктов недоработаны, к тому же у них отсутствует подробная документация, и все это часто сопровождается медленной и не особо компетентной техподдержкой. Нередко, заказ- чикам приходится обращаться к вендорам за доработкой при- обретенных решений. Некото- рые вендоры соглашаются, а некоторые – нет. Возникают ситуации, когда отечественное средство защиты уже внедрено, в процессе эксплуатации в нем обнаруживаются недостатки, но вендор их не устраняет, а создает новое решение, пре- кращая поддержку старого, вынуждая заказчика внедрять или искать новый продукт. Я надеюсь, что в процессе реа- лизации политики импортоза- мещения регуляторы обратят внимание на таких производи- телей и придумают механизм пресечения подобных действий. Есть ли выход? Несмотря на все трудности и проблемы, переходить к импортонезависимой инфра- структуре нужно. Это необхо- димо не только для выполнения требований, но и для обеспече- ния безопасности и устойчиво- сти. Пятилетний срок перехода является нормальным (норма- тивный срок для замещения программно-аппаратной состав- ляющей составляет чуть более пяти лет). Единственное опасе- ние вызывает отсутствие удов- летворяющих по функциональ- ным характеристикам решений, созданных для замены импорт- ных и слабая клиентоориенти- рованность некоторых вендо- ров. В целом, механизм реализа- ции следующий: l составить планы импортоза- мещения, причем подойти к этому вопросу с акцентом на реальность выполнения; l продумать мероприятия, бюджеты и ответственных за выполнение данных планов; l начать их реализовывать. Готовиться нужно к серьезной и кропотливой работе по дан- ному направлению, включая работу с производителями решений в части донесения до них недостатков их продук- тов и требований по доработке. При должном подходе, даже при самом неоптимистичном развитии событий, план будет выполнен на 80%. Для тех задач, которые останутся нереа- лизованными, найдется аргу- ментированная позиция, свя- занная с тем, что нужного оте- чественного решения не было, долго не было или оно долго дорабатывалось до нужного функционала. Но даже в случае отставания по срокам, опозда- ние будет небольшим. l 12 • В ФОКУСЕ Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: pxhere.com