Импортозамещение ПО для критической информационной инфраструктуры
19 мая 2023
В соответствии с Указом Президента РФ №250 государственным и системообразующим предприятиями и субъектам критической информационной инфраструктуры (КИИ) запрещено использовать иностранное программное обеспечение c января 2025 года. Это требование касается 300 тысяч предприятий и почти всех жителей России, которые пользуются сервисами этих организаций.
Рассмотрим, что такое КИИ, какие именно компании попадают под действие указа, что делать, если у иностранного продукта нет аналогов и как выполнить KPI по импортозамещению.
- Что такое критическая информационная инфраструктура
- Соблюдение цифрового суверенитета на объектах КИИ
- Трудности импортозамещения ПО
- Стек российских доверенных Java технологий для объектов КИИ
Что такое критическая информационная инфраструктура
Если определение государственных предприятий (предприятия, основные средства которых находятся в собственности государства) не вызывает вопросов, то понятие «субъекты критической информационной инфраструктуры» нуждается в пояснении. Итак, что же это такое, и какие компании и учреждения относятся к субъектам КИИ?
Критическая информационная инфраструктура (или объекты КИИ) — это информационные системы, телекоммуникационные системы и автоматизированные системы управления, принадлежащие или используемые субъектами КИИ.
Субъекты КИИ — это государственные органы и учреждения, юридические лица или индивидуальные предприниматели, осуществляющие деятельность в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Также к субъектам КИИ относятся юридические лица и индивидуальные предприниматели, обеспечивающие взаимодействие объектов КИИ.
Как определить меры защиты информации в зависимости от категории КИИ
К защите программного обеспечения объектов КИИ предъявляются строгие требования, но меры по защите информации на объектах КИИ зависят от категории значимости объекта.
Как узнать, к какой категории относится объект? Для этого существует Постановление Правительства РФ от 8 февраля 2018 года N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также Перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». Документ устанавливает три категории значимости (из которых первая — самая высокая) и правила категорирования объектов КИИ. Они зависят от критических процессов, осуществляемых на объекте, и масштаба возможных последствий в результате кибератаки на процессы.
Перечень критериев значимости объектов КИИ содержит 14 показателей, классифицированных по социальной, политической, экономической и экологической значимости и значимости для обеспечения обороны страны, безопасности государства и правопорядка.
Возьмем, к примеру, прекращение или нарушение функционирования объектов жизнедеятельности, исчисляемое по количеству затронутых событием людей. Этот показатель является социально значимым, и объекти КИИ категорируются по нему следующим образом (при категорировании учитываются наихудшие сценарии, т.е. максимальный возможный ущерб):
- 3 категория – нарушение условий жизнедеятельности от 2 до 1000 тысяч человек,
- 2 категория — нарушение условий жизнедеятельности от 1000 до 5000 тысяч человек,
- 1 категория — нарушение условий жизнедеятельности от 5000 тысяч человек и более.
Для каждой из этих категорий необходимо использовать средства защиты информации, обеспечивающие надлежащую безопасность объектов КИИ. Средства защиты информации классифицируются по степени защищенности, т.е. совокупности мер организационного характера и программно-вычислительных средств. Таким образом, класс защищенности — это определенный набор требований к защите средств вычислительной техники и автоматизированных систем.
Требования к информационной безопасности на объектах КИИ
С категориями объектов КИИ разобрались, теперь можно рассмотреть, какие требования предъявляются к безопасности КИИ.
Сферы применения КИИ и принципы и меры обеспечения безопасности КИИ описаны в Федеральном законе от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
В соответствии с нормативными требованиями субъекты КИИ должны отчитываться перед государственными органами о введенных мерах, а именнно:
- Категоризировать свой объект КИИ и направлять сведения о результатах в Федеральную Службу по Техническому и Экспортному Контролю (ФСТЭК) — уполномоченный федеральный орган исполнительной власти в области обеспечения безопасности КИИ РФ.
- После проверки сведений со стороны ФСТЭК и внесения в Реестр значимых объектов КИИ, разработать систему безопасности объекта КИИ. Требования к построению системы описаны в Приказе ФСТЭК России от 21 декабря 2017 г. N 235. Цель системы безопасности — предотвращение неправомерного доступа к информации и кибератак, оперативное восстановление данных и непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (система ГосСОПКА).
- Незамедлительно реагировать на компьютерные инциденты и оповещать о них ФСБ, ответственную за функционирование ГосСОПКИ, а также Центробанк РФ, если субъект является финансовой организацией.
Требования к обеспечению безопасности КИИ определены в Приказе ФСТЭК России от 25 декабря 2017 г. N 239. Они зависят от категории объекта и включают в себя:
- Анализ угроз безопасности, включая уязвимости ПО, и планирование архитектуры ПО по результатам анализа;
- Разработку ПО в соответствии со стандартами безопасной разработки;
- Использование средств защиты информации не ниже 4 класса защиты для 1 категории, 5 класса защиты для 2 категории и 6 класса защиты для 3 категории;
- Настройку программного обеспечения для обеспечения защиты информации, включая мониторинг и устранение уязвимостей;
- Реализацию следующих организационных и технических мер в зависимости от категории значимости объекта КИИ:
- Идентификация и аутентификация,
- Управление доступом,
- Ограничение программной среды,
- Защита машинных носителей информации,
- Аудит безопасности,
- Антивирусная защита,
- Предотвращение вторжений (компьютерных атак),
- Обеспечение целостности,
- Обеспечение доступности,
- Защита технических средств и систем,
- Защита информационной (автоматизированной) системы и ее компонентов,
- Планирование мероприятий по обеспечению безопасности,
- Управление конфигурацией,
- Управление обновлениями программного обеспечения,
- Реагирование на инциденты информационной безопасности,
- Обеспечение действий в нештатных ситуациях,
- Информирование и обеспечение персонала.
Кроме того, могут предъявляться дополнительные требования в зависимости от сферы деятельности субъекта. Например, в одной из предыдущих статей мы подробно разобрали специфику обеспечения информационной безопасности в финансовых организациях.
Соблюдение цифрового суверенитета на объектах КИИ
Выполнение требований к безопасности КИИ осложняется тем, что организации обязаны соблюдать не менее строгие требования по импортозамещению программного обеспечения. Еще в 2015 году Постановлением Правительства Российской Федерации от 16 ноября 2015 года № 1236 был установлен запрет на использование иностранного программного обеспечения для закупок, связанных с государственными и муниципальными нуждами. С тех пор нормативно-правовая база в области обеспечения независимости от иностранных технологий заметно расширилась, а в 2022 году был выпущен Указ Президента РФ N 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», который запрещает
- Закупать иностранное ПО для использования на объектах КИИ с 31 марта 2022 года,
- Использовать иностранное ПО в КИИ с 1 января 2025 года.
Даже если организация успела приобрести ПО от иностранного вендора до 2022 года, ей все равно придется осуществить миграцию на отечественные технологии. Чем дольше она откладывает переход, тем сложнее будет уложиться в срок. Но даже если абстрагироваться от требований законодательства, такие организации сейчас подвергаются гораздо большему риску, чем им кажется, рассчитывая на собственную внутреннюю ИТ-экспертизу. Одно из следствий ухода зарубежных вендоров с российского рынка и отсутствия техподдержки и обновлений — это накопление багов и уязвимостей в программном обеспечении, создающее удобное поле для кибератак.
Трудности импортозамещения ПО
По данным экспертов в России насчитывается порядка 300 тысяч объектов КИИ, поэтому жесткие требования импортозамещения программного обеспечения в нашей стране действительно являются критически важными. При этом, несмотря на то, что ответственные лица почти в каждой организации имеют KPI по импортозамещению, вопрос о невозможности уложиться в срок до 2025 года остается актуальным. В чем же проблема?
Главный барьер на пути к замещению импортного программного обеспечения — отсутствие полных аналогов на российском ИТ-рынке. В течение многих лет доминирующие позиции в РФ в этой сфере занимали глобальные игроки, такие как Oracle, IBM, SAP, Microsoft, Google и пр. Еще сложнее дело обстоит с целыми экосистемами, основанными на импортных решениях: в этом случае создание полного стека отечественных технологий может потребовать нескольких лет. Пока что выходом является комбинирование нескольких продуктов для обеспечения компании необходимым функционалом. Альтернативной этому решению является использование отечественного стека совместимых продуктов от нескольких российских поставщиков.
Также, переход на новое программное обеспечение требует времени. Тестирование нового решения обычно занимает от полугода до года, но перевод мощностей осуществляется постепенно и может длиться более пяти лет.
Наконец, еще одна причина медленных темпов миграции — недоверие к отечественным технологиям. В мышление российских предпринимателей и потребителей вросла установка «западное происхождение товара — гарант качества», в то время как российские продукты воспринимаются как нечто сделанное наспех, не функциональное и не надежное. Но в области ИТ сравнение по принципу «качественный / не качественный» не вполне уместно, так как на протяжении более 30 лет российские компании инвестировали капитал и инженерное время в зарубежное ПО, и спроса на отечественные решения не было (хотя разработка российских продуктов не стояла на месте, но велась, скорее, вопреки тенденциям на рынке). Зато теперь, когда государство говорит о том, что пора делать то же самое, но с отечественными решениями — осуществлять внедрение, получать обратную связь от заказчика для доработки продукта и т.д. — у российских разработчиков есть шанс создать лучшие технологии в условиях свободы выбора технических решений из-за отсутствия легаси-багажа, накопленного западными компаниями.
Как бы то ни было, теперь миграции не избежать. Нужно подобрать отечественные технологии и начинать тестирование как можно скорее. К счастью, в области Java-разработки (используемой в подавляющем числе КИИ) уже имеются готовые решения, не только являющиеся полноценной заменой продуктов Oracle, IBM, Red Hat и пр., но и превосходящие их по функционалу с точки зрения соответствия российской специфике и в особенности — требований ФСТЭК.
Стек российских доверенных Java технологий для объектов КИИ
Axiom JDK разрабатывает и поддерживает линейку российских продуктов для разработки и запуска Java приложений, являющихся полнофункциональной заменой связующих технологий зарубежных вендоров, куда входят:
- Axiom JDK Pro — доверенная среда разработки и исполнения Java SE,
- Axiom JDK Certified — среда разработки и исполнения Java, прошедшая сертификацию ФСТЭК по 4 уровню доверия,
- Libercat — сервер приложений Java EE / Jakarta EE,
- Axiom NIK — утилита для создания нативных образов,
- Axiom AC — инструмент контроля и обновления корпоративного парка рантаймов,
- Axiom Runtime Container Pro — система для создания миниатюрных Java-контейнеров.
Преимущество продуктов Axiom JDK заключается в том, что они созданы и поддерживаются российскими инженерами с 25-летним опытом развития Java и OpenJDK. Наши специалисты учитывают специфику рынка, поэтому их работа соответствует нормативно-правовым требованиям к информационной безопасности и цифровому суверенитету. CIO, СТО, ИБ директора компаний могут разделить риски миграции и дальнейшей эксплуатации объектов КИИ
- Технологии входят в реестр российского ПО и совместимы с отечественными ОС, СУБД, оборудованием и облаками.
- Axiom JDK Pro поставляется с доверенным репозиторием Java-библиотек, наиболее востребованных в России, готовыми конфигурациями TLS-сертификатов Минцифры, и является допустимой средой функционирования КриптоПРО JCP и КриптоПРО CSP для использования в системах юридически значимого электронного документооборота.
- Все продукты разрабатываются в соответствии с концепцией жизненного цикла безопасной разработки SDL.
- Благодаря соответствию стандартам Java SE миграция происходит легко, путем замены пары строк кода.
- Команда выпускает регулярные обновления синхронно с Oracle (шесть релизов в год, включая CPU релизы с устраненными уязвимостями) и предоставляет экстренные патчи для клиентов.
Наиболее передовые субъекты КИИ уже сделали свой выбор и полностью перевели свои ключевые системы на Axiom JDK Pro:
- НСПК, Национальная система платежных карт, оператор платежной системы «МИР», использует Axiom JDK Pro для систем процессинга, клиринга и программы лояльности, системы быстрых платежей (СБП), MirAccept и других сервисов. Ее КИИ использует более трети населения России.
- ЕДИНЫЙ ЦУПИС, единый центр учета переводов ставок букмекерских контор и тотализаторов, назначенная Распоряжением Президента РФ кредитная организация, перевел высоко-нагруженную финтех систему на Axiom JDK Pro, обеспечив 20 млн пользователей надежными сервисами.
- «Газпром добыча Астрахань», крупнейшее газодобывающее предприятие на юге России, реализует проект «Интеллектуальное месторождение», который оптимизирует системы разработки, добычи и подготовки углеводородного сырья,с использованием Axiom JDK Pro.
Более подробно о кейсах использования продуктов линейки Axiom JDK субъектами КИИ можно узнать из нашей статьи.
Сейчас наступает время практического импортозамещения, и в авангарде окажутся компании, которые будут его ускорять, тестировать и внедрять отечественные продукты для выполнения своих целей, взаимодействовать с вендорами для их доработки под более специфические задачи, которым пока нет аналогов в России.
Если вы узнали вашу компанию в списке КИИ и применяете Java технологии в своих критически важных системах , свяжитесь с нами — мы проведем митап для вашей команды, подробно расскажем о наших продуктах, предоставим демо-версию и поможем с миграцией!