Нормативно-правовая база в области защиты информации и импортозамещения в государственном и корпоративном сегментах и практика ее применения
«Для развития технологической базы и роста промышленного производства в масштабах всей страны мы сформулировали программу так называемого импортозамещения… Подчеркну, задача состоит не в том, чтобы любыми способами заменить импортные товары отечественными товарами. Необходимо наладить массовый выпуск именно качественной российской продукции, причем по приемлемой, экономически обоснованной цене, способной на равных конкурировать с зарубежными аналогами как на внутреннем, так и на внешнем рынке».
(с) В.В. Путин. Источник: материалы сайта kremlin.ru.
В соответствии с требованиями Федерального закона от 5 апреля 2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» с 1 января 2016 г. все государственные и муниципальные органы, государственные корпорации «Росатом» и «Роскосмос», органы управления государственными внебюджетными фондами, а также казенные и бюджетные учреждения, осуществляющие закупки, обязаны соблюдать запрет на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд.
Запрет введен постановлением Правительства РФ от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». При закупке программного обеспечения вышеперечисленные заказчики должны прямо указывать на запрет приобретать импортное ПО в извещении об осуществлении закупки. В 2016 г. запрет распространился на закупки программного обеспечения для электронных вычислительных машин и баз данных, реализуемых независимо от вида договора на материальном носителе и/или в электронном виде по каналам связи, а также исключительных прав и прав использования такого программного обеспечения…
Так бы можно было начать аналитическую справку или промежуточный отчет о реализации стратегии замещения импортных решений «отечественными аналогами» на рынке программного и аппаратного обеспечения в России в 2016–2017 гг., если бы материалы предназначались руководству крупной российской корпорации. Последовательный, системно выстроенный язык цифр, реквизитов и цитат нравится многим управленцам, его удобно использовать в качестве «железобетонных» аргументов в споре о выборе «новых» или отказе от «старых» решений. Не секрет, что проиллюстрированная парой-тройкой красивых эпюр и диаграмм техническая статистика становится живой и понятной даже неспециалистам в области информационных технологий и защиты информации. А выкладки и сравнения с рублевым эквивалентом стоимости тех или иных, пусть даже не совсем отечественных ИТ-продуктов позволит руководству однозначно принимать управленческое решение в отношении частичного или полного принятия у себя в организации стратегии ЗИ. Но нужно ли это отражать в настоящей статье? Не уверен. Не хотелось бы, чтобы обсуждение вопроса перешло в сугубо экономическое русло. Поэтому постараюсь, минимально прибегая к формализму и сухому анализу, раскрыть тему актуальных нормативно-правовых актов в области ЗИ и привести примеры их применения в области защиты информации, в том числе в корпоративном сегменте в России в 2016 г. Сразу отмечу, что нормотворчество в этом направлении несколько запаздывает относительно инициатив и решений, принятых руководством страны в 2014–2015 гг.
Нормативные основы ЗИ
С 2015 по 2016 г. в России в рамках курса на ЗИ принят ряд основополагающих нормативно-правовых актов и вытекающих из них решений:
- в июне 2015 г. Президентом Российской Федерации В.В. Путиным подписан закон, который предусматривал создание открытого перечня отечественных программ и возможность ограничений использования зарубежного ПО при наличии соответствующего отечественного аналога;
- в конце 2015 г. создан и с января 2016 г. введен в действие единый реестр российских программ для электронных вычислительных машин и баз данных. Реестр, к которому любой желающий может обратиться в режиме реального времени через Интернет по ссылке reestr.minsvyaz.ru, введен в действие в соответствии со статьей 12.1 Федерального закона «Об информации, информационных технологиях и о защите информации» в целях расширения использования российских программ для электронных вычислительных машин и баз данных, подтверждения их происхождения из Российской Федерации, а также в целях оказания правообладателям программ для электронных вычислительных машин или баз данных мер государственной поддержки. По состоянию на сентябрь 2016 г. в реестре зарегистрировано более 1180 наименований программно-аппаратных средств, произведенных на территории Российской Федерации;
- c 1 июля 2015 г. является обязательным размещение на территории России технических средств информационных систем, используемых госорганами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или учреждениями;
- c 1 сентября 2015 г. хранение персональных данных граждан Российской федерации разрешено только на территории РФ;
- в 2016 г. внесены изменения в текст Доктрины информационной безопасности Российской Федерации (утверждена Президентом РФ от 09.09.2000 г. № Пр-1895 с изменениями), где развитие отрасли ИТ и ИБ отмечены как особо приоритетные, а закупки импортных ИТ-товаров, продуктов и услуг названы угрозами информационной безопасности России;
- 9 августа 2016 г. премьер-министром РФ Д.А. Медведевым подписано постановление Правительства № 764, вносящее изменения в приложение к постановлению Правительства Российской Федерации от 17 июля 2015 г. № 719 «О критериях отнесения промышленной продукции к промышленной продукции, не имеющей аналогов, произведенных в Российской Федерации». Документ опубликован на портале правовой информации 11 августа 2016 г.
Читатель, разбирающийся в деталях темы, может задать резонный вопрос: «И что же в этом перечне нормативных документов нового и интересного?» А интересное, на мой взгляд, то, как в отдельно взятых организациях и внутренних подразделениях, ответственных за обеспечение информационной безопасности, работники пытаются приводить выстроенные годами процессы в соответствие актуальному тренду ЗИ.
Примеры импортозамещения
В период 2015–2016 гг. получила развитие нормативно-правовая база по ЗИ в отраслевых и корпоративных сегментах РФ. Крупнейшие компании успешно реализуют политику внешнего и внутреннего ЗИ. К примеру, в ПАО «Газпром» организована работа по привлечению промышленного потенциала регионов Российской Федерации к решению задач, направленных на замещение импортной продукции, применяемой или планируемой к применению в производственной деятельности компаний группы «Газпром». Для упрощения процедур анализа и согласования профильными подразделениями ПАО «Газпром» разработан и успешно применяется перечень из более 500 позиций импортной продукции, рекомендованной ПАО «Газпром» для освоения отечественными производителями. В целях оптимизации взаимодействия предприятий-изготовителей технологического оборудования и материалов с ПАО «Газпром» и сопровождения разработки и освоения ЗИ подготовлена и размещена на официальном сайте соответствующая форма опросного листа.
По заявлению главы государственной корпорации по атомной энергии «Росатом» С. Кириенко, в I квартале 2016 г. «Росатом» успешно осуществила поставку 117 суперкомпьютеров. Машины собраны на базе аппаратной платформы отечественного производства, на них установлено российское ПО. Российские суперкомпьютеры созданы на базе федеральных ядерных центров. Спрос на них формируют гособоронзаказ, Министерство обороны РФ, «Роскосмос», «Объединенная авиастроительная корпорация» и атомная промышленность.
Примечательными являются примеры выполнения стратегии ЗИ в сфере ИТ и ИБ.
Под флагом ЗИ очень продуктивно прошел 2015 г. В мае небольшая в сравнении с лидерами мирового аппаратного рынка сибирская компания «Байкал Электроникс» представила на ИТ-рынке в России первый отечественный микропроцессор общего назначения Baikal-T1. Этот продукт, по задумке авторов, предназначен для гражданского (не военного) применения как альтернатива решениям AMD и Intel для коммерческих и государственных структур. Частота нового процессора – 1,2 ГГЦ, контроллер памяти – DDR3-1600, также в релизе сообщается о поддержке технологии USB 2.0.
Летом того же года российская ИТ-компания KraftWay приступила к серийному выпуску уникального в своем роде защищенного планшетного персонального компьютера KW10T на собственной материнской плате с модифицированной архитектурой и встроенной в BIOS антивирусной защитой. Планшет предназначен в первую очередь для обработки конфиденциальной информации в государственных и корпоративных информационных системах. Надежную работу устройства обеспечивают операционные системы MCBC 5.0 и Astra-Linux SE.
В конце 2015 г. отечественная компания-разработчик ПО «Новые облачные технологии» официально объявила о выпуске российского аналога линейки MicroSoft Office 365 – продукта «Мой офис». Эксперты компании CNEWS провели сравнительный анализ двух решений и в части ИТ-функциональности отметили, что отечественный продукт пока уступает западному аналогу. Однако с точки зрения вероятности реализации типовых (построенных на использовании известных уязвимостей платформы MS Windows и компонентов MS Office) атак злоумышленников на рядовых пользователей офисного пакета продукт «Мой офис», за счет применения встроенного конвертора форматов, существенно затрудняет, а в некоторых случаях блокирует работу вредоносного программного обеспечения.
Во II квартале 2016 г. в центре инноваций в Сколково прошла презентация новой отечественной операционной системы на базе открытой платформы Tizen для мобильных устройств. Разработчики заявили, что российской мобильной платформе по силам конкурировать с мировым лидером Android. В разработке Tizen приняли участие программисты из 11 крупных российских и иностранных компаний, в том числе концерна Samsung, ГК «Ренова», компании «Сфера» и пр. С точки зрения защиты информации кроссплатформенная ОС Tizen, по словам ее авторов, отвечает всем требованиям по информационной безопасности Министерства обороны. Любопытен тот факт, что разработчики новой мобильной платформы обещают «превратить ваше устройство в обычный кирпич», пока любая выявленная подсистемой защиты информации внешняя угроза не будет успешно устранена. По состоянию на первое полугодие 2016 г. с ОС Tizen совместимы следующие сопутствующие программные решения: пакет программ «Мой офис», отечественный браузер «Спутник» от компании «Ростелеком», отдельные навигационные программы, модуль «Государственные услуги». Новая платформа пока не ориентирована на массовый рынок, она в первую очередь решает одну из фундаментальных задач ЗИ – отказ от импортных аналогов в государственном секторе. С выходом отечественной операционной системы Tizen Россия получила для своих крупных государственных компаний и властных/правоохранительных структур надежную с точки зрения ФСТЭК платформу хранения и мобильного использования конфиденциальных данных и уже в ближайшем будущем сможет поэтапно отказаться от эксплуатации недоверенных зарубежных аналогов, что, как минимум, снижает угрозу неконтролируемой утечки информации в подконтрольные спецслужбам иностранные компании.
Факторы успешного достижения целей стратегии ЗИ в области ИТ и ИБ в России в 2016–2020 гг.
Согласно ранее опубликованным комментариям к описанию программы ЗИ основными целями реализации новой экономической стратегии в России в области ИТ и ИБ являются:
- укрепление экономического и информационного суверенитета РФ и отказ от импортных аналогов при выборе необходимых ИТ-решений;
- доведение доли отечественного программного и аппаратного обеспечения в ИТ до 50% (в настоящее время, по отчетам IDC, доля зарубежного оборудования в российских компаниях составляется более 90% общего парка, а доля зарубежного ПО по ИТ-сфере в целом по РФ – свыше 67%);
- доведение доли отечественных решений по рынку средств защиты информации до 60% (для сравнения: доля зарубежного ПО в сфере ИБ-сфере в РФ в 2015 г. превысила 61%);
- переход от политики импорта ИТ-решений к политике экспорта (в контексте участия России в объединениях БРИКС, ШОС, ЕАЭС).
Цели достаточно амбициозные, и, учитывая тот факт, что рынок ИБ в России жестко регламентирован и ограничен как требованиями обновленных нормативно-правовых документов, так и отдельными официальными распоряжениями регуляторов (ФСТЭК, ФСБ, Минкомсвязь, ЦБ, Роскомнадзор), именно они (четко сформулированные цели) вкупе с опытом и профессиональной экспертизой открывают перед отечественными компаниями новые освободившиеся ниши и экономические перспективы успешного развития.
В России, по мнению ведущих экспертов ИБ-отрасли, в сложившейся экономической ситуации наряду с видимыми сложностями в 2016 г. наблюдаются четкие факторы и предпосылки для успешного развития бизнеса ИТ- и ИБ-компаний в долгосрочной перспективе, что, в свою очередь, несомненно, будет способствовать достижению глобальных целей замещения импорта в России, обозначенных в программе Правительства, рассчитанной до 2020 г. Среди факторов, этому способствующих, можно назвать:
- открытие новых производственных центров на территории РФ;
- развитие кооперации с центрами инноваций в науке и образовании;
- появление новых фондов для инвестиций в перспективные проекты;
- применение ранее накопленного опыта для развития внутреннего рынка;
- уход с рынка отдельных прозападных решений и крупных внешних игроков;
- построение и/или обновление партнерских сетей внутри отрасли;
- расширение внешнего рынка экспорта качественно новых продуктов.
Текущие результаты и перспективы
Представленные примеры наглядно демонстрируют, что стратегия ЗИ в России принята и успешно реализуется в организациях различного уровня. По оценкам экспертов, практика принятия и реализации на местах положений нормативно-правовых документов, выпущенных и/или отредактированных в 2014–2016 гг., в целом оказывает положительное (не сдерживающее) воздействие на всю отрасль производства ИТ- и ИБ-решений. Но даже при условии наличия в России значительной отраслевой поддержки курса на замещение импорта в области ПО, у некоторых экспертов присутствует скепсис по поводу сроков реализации, объемов и результативности выбранной стратегии замещения импорта. По мнению представителей компаний – разработчиков отечественных решений на рынке ИБ, для успешной реализации схем ЗИ им необходимы дополнительная многолетняя совместная работа с целым рядом смежных отраслей, а также воля и поддержка инициатив и формализованных предложений на всех уровнях государственной и региональной власти.
Для решения поставленных Правительством РФ амбициозных задач потребуется совместное преодоление накопленных за предшествующий период профессиональных кадровых ограничений и внутренних человеческих стереотипов, которые десятилетиями внедрялись в сознание российских ИТ- и ИБ-специалистов. К подобным сдерживающим факторам относятся:
- серьезнейшая потребность в квалифицированных кадрах.На протяжении 25 лет российские специалисты предпочитали карьере ученого в отечественном бюджетном НИИ перспективную и высокооплачиваемую работу в коммерческих организациях за рубежом. Многие эксперты в отсутствии востребованности были вынуждены переквалифицироваться и со временем растеряли знания и навыки, необходимые для быстрого и эффективного запуска вновь востребованных в России направлений. Уровень преподавания в отечественных вузах последние десять лет планомерно снижался вследствие постепенной смены преподавательского состава и формирования неконкурентоспособных условий труда для молодого поколения. Некоторые ведущие университеты страны были вынуждены отказаться от развития профильных направлений в образовании и, следуя зову рынка, создать новые кафедры, выпускающие востребованных на тот момент бакалавров и магистров юриспруденции, менеджмента и экономики;
- отказ от западно-ориентированных программ подготовки и сертификации специалистов. Заранее понимая необходимость освоения новых рынков в России, крупные западные компании – производители системного, прикладного, целевого ПО и решений по ИБ многие годы организовывали в России на базе ведущих учебных центров и партнерских площадок курсы повышения квалификации и иерархические схемы сертификации по своим продуктам, заинтересовывали экспертов новыми версиями, уникальной функциональностью и эргономичностью импортных недешевых решений. После чего полученные знания наши коллеги использовали на местах работы, покупая и внедряя удобные прозападные решения во все сферы своей деятельности. Отечественные компании – разработчики ПО пытаются перенимать успешный опыт коллег, но при прочих равных условиях проигрывают западным конкурентам как по времени, так и по уровню финансирования;
- переход от практики локализации технологий к схеме поиска уникальных идей и стимулирования талантов. Большинство отечественных ЗИ решений является сегодня либо копией западного аналога с «перекрашенным» интерфейсом, либо доработанным с учетом региональной специфики продуктом, который «вчера» назывался программным обеспечением с открытым исходным кодом и распространялся в Интернете бесплатно при условии соблюдения лицензионной политики и авторских прав разработчика. Вследствие приведенных выше ограничений создать в России что-то с нуля крайне затратно как с точки зрения ресурсов, так и в контексте снижения мотивации, творческой составляющей и патриотизма людей. В этом смысле лидирующие позиции в мире уже многие годы занимают российские хакеры, которые используют уникальные программные продукты, не имеющие западных аналогов и поэтому крайне опасные и сложно отслеживаемые иностранными спецслужбами. С подтвержденным или гипотетическим пророссийским авторством они регулярно появляются на черном рынке в скрытой от общего доступа части сети Интернет. Эти продукты не нуждаются в дополнительной рекламе или поддержке со стороны государства, они успешно развиваются за счет привлечения внешнего финансирования и с завидным постоянством применяются для совершения злонамеренного воздействия на целевые автоматизированные системы как в России, так и за ее пределами;
- изменение подхода компаний-разработчиков к жизненному циклу своего продукта. Если спросить у ИТ-директора крупной российской коммерческой компании, почему он не покупает ИТ-продукты российского производства, с вероятностью более 67% будет получен ответ, что западные аналоги по своим эксплуатационным характеристикам существенно опережают российские решения. На собственном опыте многие компании убедились, что отечественные разработчики ПО недостаточно внимания уделяют формированию полного жизненного цикла для созданного ими продукта. В настоящее время серьезной проблемой российского ИТ- и ИБ-рынков является отсутствие какого-либо контроля качества решений (как по отечественным методикам, основанным на ГОСТ, так и по иностранным стандартам ISO9000). Некоторые компании-разработчики под давлением рынка и/или при наличии прозападных конкурентов с аналогичными ИТ-решениями до введения Правительством РФ стратегии ЗИ стремились получить ежесекундную прибыль без принятия на себя каких-либо долгосрочных обязательств;
- привлечение достаточного финансирования и контроль расходования бюджета. Не секрет, что без достаточного финансирования ведущие и новые компании и отдельные эксперты рынка ИТ- и ИБ-решений в России не смогут полноценно реализовать долгосрочные планы Правительства РФ. Выделяемые бюджетные средства и коммерческое финансирование призваны стабилизировать ситуацию и сохранить положительную динамику процесса создания собственных ИТ-продуктов. При этом на процесс управления в российских ИТ-компаниях серьезное влияние оказывают внешнеэкономические и общеполитические факторы, которые ограничивают для некоторых игроков рынок сбыта своих товаров и услуг, а других заставляют открывать новые направления и выстраивать партнерские сети с ранее недоступными или не рассматриваемыми иностранными компаниями. Однако вне зависимости от выбранной стратегии у всех руководителей, имеющих многолетний налаженный бизнес в России и за ее пределами, в отношении ЗИ наблюдается своеобразная инертность, присутствие которой за два года под санкциями полностью преодолеть не удалось. «Кусочно-заплатнический» подход к решению задач, ставка в работе на личные отношения, а не на профессионализм и компетенции, коррупционная составляющая, ошибки в долгосрочном планировании могут и дальше остаться основными видимыми и понятными стороннему наблюдателю характеристиками отечественного ИТ/ИБ-рынка, неспешно выполняющего программу ЗИ.
Проблемы импортозамещения
Помимо кадровых на ИТ/ИБ-рынке в большом объеме присутствуют технологические ограничения, которые не позволяют в полной мере говорить о глобальном импортозамещении в России. Приводимый далее пример наглядно иллюстрирует суть проблемы.
Отечественное программное обеспечение для бухгалтерского учета и отчетности разработано лидером российского рынка ИТ-решений. Оно совместимо с антивирусным программным обеспечением российского разработчика (мирового лидера). Оба они используют в своей работе бесплатное программное обеспечение с открытым исходным кодом для обработки офисных документов стандартных форматов. С прикладным ПО все выглядит более-менее гладко. Но это ПО устанавливается на операционную систему иностранного производства (уже звоночек!), предположим, прошедшую сертификацию в установленном порядке в России и имеющую аттестат на соответствие требованиям по защите конфиденциальной информации. Почти идеально с точки зрения ЗИ. Однако все программные продукты устанавливаются на аппаратную платформу, ПО и комплектующие для которой разработаны и произведены в иностранной компании (пусть даже сборка системного блока выполнена в России). Программы-драйверы и утилиты для настройки аппаратной платформы и внешних устройств (клавиатуры, манипуляторы курсора, USB-flash накопители, принтеры и пр.) также являются продуктами не российского производства. Сетевое оборудование различного уровня и назначения (Wi-Fi-маршрутизатор, стационарный цифровой телефонный аппарат, мобильный телефон или планшет), в том числе используемое провайдерами телекоммуникационных услуг для организации вычислительных сетей и сетей мобильной связи, импортное.
На сегодняшний день эту проблему решить технически невозможно. Степень проникновения импортного программного и аппаратного обеспечения на российский рынок достаточно высока. Если степень ЗИ в прикладной сфере вполне приличная, чтобы докладывать об успехах на уровне Правительства РФ, то ЗИ в части системного, сетевого программного обеспечения и аппаратных платформ оставляет желать лучшего. К сожалению, одно без другого функционировать не сможет. Вопросы кроссплатформенности и совместимости в данном контексте выходят на первый план. Заменить операционную систему и аппаратную платформу на офисных и домашних рабочих станциях без реальной альтернативы отечественного производства в ближайшем будущем не получится. Но в процессе исполнения планов Правительства РФ по ЗИ, при наличии профессиональных кадров и достаточного финансирования, на горизонте 2020 г. должны появиться российские аналоги – операционные системы, аппаратные комплексы в защищенном исполнении, способные составить серьезную конкуренцию ведущим западным игрокам.
К общему сожалению, заложенные в программе ЗИ темпы развития отдельных направлений в ИБ (например, решения по анализу большого объема статических данных или сетевого трафика, системы обнаружения и/или предотвращения вторжений, аппаратные средства защиты и др.) по объективным причинам не соответствуют ожиданиям руководства страны. Вместе с тем, при условии продления в первую очередь организационной и нормативной поддержки со стороны Правительства РФ ИБ-отрасли в целом и присутствия на ИТ-рынке перманентно позитивных тенденций перспективы достижения сформулированных в стратегии ЗИ целей становятся более чем реальными, даже с учетом факторов внешнеэкономической турбулентности.