Всем уже набило оскомину понятие «импортозамещение», особенно в программных продуктах. Но реально полного замещения не получается. Про элементную базу только ленивый не написал. А вот как работать большим компаниям, госкорпорациям, да и самим федеральным министерствам, когда для решения глобальных задач выбрать серьезный проверенный программный продукт, к сожалению, не из чего?
В таких условиях одно из перспективных направлений – создание «совместных» продуктов, где ядром системы являются иностранные модули, опробованные, «проверенные» практикой (именно проверенные, а не лучшие), а надстройкой – разработанные уже по отечественным требованиям программные продукты. Существуют критерии отечественного программного обеспечения, разработанные Министерством связи и массовых коммуникаций Российской Федерации, где есть цифры 50% и 30%. Но сделать сумму лицензионных отчислений в пользу иностранных организаций не более 30% общей выручки – задача непростая.
Необходимо учитывать, что и госкомпании, и органы власти хотят иметь не просто иностранный продукт, а доверенный, защищенный продукт. Для этого многие представительства иностранных компаний, зарегистрированные в Российской Федерации как общества с ограниченной ответственностью, получают лицензии одного или нескольких регуляторов, что позволяет быть заявителем при сертификации программных продуктов. Сертификация может проводиться на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) по четвертому уровню контроля, а также технических условий (ТУ). Дополнительные условия многих заказчиков заключаются в том, что иностранный программный продукт (модуль) может применяться для защиты информации ограниченного доступа (конфиденциальной информации, персональных данных и т. п.), не содержащей сведений, которые составляют государственную тайну, в государственных информационных системах 3-го и 4-го классов защищенности, а также для обеспечения третьего, четвертого уровней защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы, например, третьего типа.
При этом заказчики уже не хотят сами собирать информационную систему из разных компонент, заказывать/проводить сертификацию (этот процесс занимает не один месяц), а рассчитывают получить готовый, полностью сертифицированный отечественный продукт, пусть даже с «мотором» импортного происхождения. На мой взгляд, это достаточно перспективное направление работ с учетом того, что программный код вряд ли будет передан, и максимум, что можно получить, – это доступ к коду для проверки.
Создание совместного продукта с учетом применения «навесных» средств защиты и контроля , с одной стороны, позволит уйти от «топорного» импортозамещения, с другой – не отбросит нас назад.