Телефон
e-mail
Начало государственной политики в области защиты информационной инфраструктуры Российской Федерации было положено в 2013 году, подписанием Указа Президента Российской Федерации от 15 января 2013 года № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Далее, в 2017 году был опубликован федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступил в силу с 1 января 2018 года. Под термином критическая информационная инфраструктура следует понимать – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия (объекты КИИ). К субъектам КИИ относятся организации и ведомства, функционирование которых осуществляется в областях, особо значимых для государства, а также учреждения, которые обеспечивают деятельность объектов КИИ.
В 2018 году в Российской Федерации оформилась нормативная база по направлению критической информационной инфраструктуры и обеспечению ее безопасного функционирования. Были подписаны такие нормативно-правовые акты как:
В соответствии с 187-ФЗ и Постановлением правительства РФ № 127, государственные учреждения и органы, которые имеют в своем распоряжении информационные системы и сети, автоматизированные средства управления, которые функционируют в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, должны обеспечить их безопасность. Для этого необходимо:
Комплекс данных мероприятий привел к созданию системы безопасности объектов КИИ в Российской Федерации, а также усиления контроля данных систем со стороны органов исполнительной власти, уполномоченных в области безопасности (ФСТЭК России – безопасность и категорирование объектов КИИ, ФСБ России – контроль требований, предъявляемых к ГосСОПКА).
В настоящее время, кроме указанных выше нормативно-правовых актов, сферу деятельности КИИ регламентируют следующие документы:
Таким образом, на основе этих двух документов появилась контрольная точка – 1 января 2025 года. С этого момента органы государственной власти и заказчики по 223-ФЗ не имеют права использовать на своих значимых объектах КИИ иностранное ПО и аппаратное обеспечение. Следовательно, у данных ведомств и организаций осталось чуть больше года для импортозамещения на значимых объектах КИИ.
Весной 2022 года ряд иностранных компаний, связанных с разработкой, продажей и распространением программного обеспечения, в том числе применяемого на объектах КИИ объявили о своем уходе из Российской Федерации, закрыв тем самым доступ к обновлению и закупкам новых продуктов. Одновременно в игру вступает 166 Указ Президента, который запрещает использование иностранного ПО на значимых объектах КИИ.
Несмотря на то, что на текущий момент существует большое множество отечественных разработок, включенных в реестр Минпромторга (Единый реестр российских программ для ЭВМ и БД), использование отечественного программного обеспечения в КИИ не превышает 30% от общего количества используемого софта. Причина в отсутствии полнофункциональных решений, которые могли бы полностью и с тем же уровнем качества заменить аналоги иностранных производителей. Например, в области АСУ ТП значительная часть сложных программных контроллеров закупалась за рубежом, так как в Российской Федерации подобные решения не создавались.
Однако в области обеспечения информационной безопасности отечественные решения не уступают иностранным аналогам, а по некоторым показателям превосходят их. Отечественные решения от таких ведущих вендоров как, «Код Безопасности», «Kaspersky», «РусБитТех», «Dr. Web», «Ростелеком», «Криптософт» и пр., прочно заняли свою нишу на рынке программного обеспечения, направленного на обеспечение информационной безопасности.
Если вопрос с обеспечением информационной безопасности, контроля и разграничения доступа вполне решаем, то гораздо сложнее дела обстоят с общесистемным программным обеспечением. Например, перенос всего программного обеспечения объекта КИИ с условной Windows на отечественную операционную систему AstraLinuxSe или QPOC, выльется в ряд проблем совместимости. Перенос веб-приложений, СУБД и прочего ПО на отечественные, или же, хотя бы open-source решения хоть и представляется возможным, однако в ближайшей перспективе это чревато падением производительности. Также, не стоит забывать, что при переводе на отечественное специализированное ПО потребуется переобучение операторов, что тоже несет некоторые трудности и финансовые затраты.
Однако, государственные ведомства весьма успешно решают задачи по переходу на отечественное ПО и open-source решения. Например, на конференции С-News «Цифровизация в госсекторе: 2023», заместитель начальника управления информационной инфраструктурой Федерального Казначейства заявил, что все программные продукты, используемые ведомством, являются импортонезависимыми, но одновременно, существует ряд сложностей по переносу данных из СУБД в СУБД.
Таким образом, вопрос импортозамещения в области программного обеспечения является трудной и ресурсоемкой задачей, но вместе с тем вполне выполнимой. Уровень государственной поддержки в этой области весьма обширен. Необходимо также понимать, что импортозамещение это не только замещение текущего функционала иностранного программного обеспечения, но и дальнейшее развитие технологий.
Проблема обеспечения технологической независимости в области аппаратного обеспечения стоит намного острее, нежели вопрос с программными продуктами. Внедрение информационных технологий, оказывающих существенное влияние на устойчивость функционирования информационной инфраструктуры Российской Федерации, в том числе критической информационной инфраструктуры, достигло уровня, при котором реализация угроз безопасности может привести к значительным негативным последствиям в области обеспечения обороны страны и безопасности государства. Производство электронных компонентов за рубежом создает возможность для внедрения в интегральные схемы логических уязвимостей. При этом уполномоченные федеральные органы исполнительной власти и субъекты критической информационной инфраструктуры не могут в полной мере контролировать цепочки поставок программно-аппаратных средств, электронных компонентов и телекоммуникационного оборудования, а также осуществлять верификацию алгоритмов, реализованных в них. Закупка и применение иностранных технических решений осложнена в условиях действий недружественных государств, а их использование влечет новые потенциальные угрозы безопасности информации.
Отсутствие полного цикла разработки электронно-компонентной базы, которая в полной мере могла бы удовлетворять требованиям по надежности и производительности сильно влияет на темпы развития отечественных доверенных аппаратных платформ. На рынке аппаратного обеспечения в Российской Федерации в настоящее время отсутствует класс решений, построенных на отечественных микропроцессорах и ЭКБ. Отсутствие отечественных доверенных решений существенно усложняет процессы выполнения предписаний 187-ФЗ и 166 Указа Президента Российской Федерации.
В настоящее время, решения отечественных вендоров в области разработки аппаратного обеспечения построены с использованием продуктов зарубежных производителей, в основном из «недружественных» стран. Также, программно-аппаратные комплексы, предлагаемые российскими вендорами, не достигают сопоставимой с иностранными аналогами производительности, в том числе по причине использования в качестве аппаратной платформы процессоров общего назначения х86 архитектуры. Главным стоп фактором для эксплуатации этих решений на объектах КИИ является отсутствие вендорской технической поддержки.
С февраля 2022 года кратно возросли случаи нелегитимного удаленного управления оборудованием КИИ из «недружественных» стран, вплоть до полного отключения данного оборудования. Увеличение числа угроз информационной безопасности вынуждает переводить аппаратное обеспечение объектов КИИ на отечественные решения, в том числе основанные на отечественной микроэлектронике.
В этом направлении можно выделить отечественную архитектуру «Эльбрус». В ходе разработок удалось создать процессоры, построенные по техпроцессу до 16 нм. Однако, процессоры, построенные по данному техпроцессу, собирались на заводе TSMC в Тайване. В связи с политической обстановкой, на текущий момент это не представляется возможным. Компании пытаются локализовать производство своих процессоров в России, однако самый максимальный из доступных техпроцессов на данный момент составляет 90 нм.
По состоянию дел на 2023 год в Российской Федерации отсутствуют доверенные аппаратные решения, которые могли бы в полной мере обеспечить полноценный переход с оборудования иностранного производства. Вместе с тем, ряд отечественных вендоров предлагают пути развития отечественного аппаратного обеспечения. Предложены ряд промежуточных решений, позволяющих обеспечить безопасность и надежность оборудования иностранного производства, а также решения, на основе электронно-компонентной базы полученной из т.н. «дружественных» государств. Совокупность этих факторов позволит осуществить весьма ресурсоемкий и длительный перевод отечественных КИИ на доверенное оборудование с минимальными потерями.
Также, на переходный период ряд отечественных организаций предлагают промежуточные решения в виде программно-аппаратных комплексов, которые могут выступать как надстройка над аппаратными продуктами иностранного производства, для повышения уровня доверия. Главным приоритетом до достижения технологической независимости объектов КИИ является всестороннее обеспечение высокого уровня информационной безопасности. Поэтому, на текущем этапе развития отечественных аппаратных решений обеспечение доверия могут использоваться промежуточные решения, внедряемые в уже существующие программно-аппаратные комплексы.
Несмотря на приведенные выше проблемы, рано или поздно российская промышленность придет к технологическому суверенитету, так как «пути назад нет». Очень важно понимать, что перестройка промышленности является итерационным процессом, каждый шаг которого должен обеспечивать начало следующего.
Все новости
Отправьте заявку
Специалист компании свяжется с Вами в течение дня
