Импортозамещение в информационной безопасности жизненно необходимо для нормального функционирования предприятий. Но не следует сломя голову бросаться срочно замещать все решения. Тем более, что сделать это быстро и легко не получится. Прежде всего, нужно определить ключевые риски и, уже отталкиваясь от этого, действовать. Вопросы импортозамещения в ИБ, выработки актуальных рекомендаций в этой связи, методов и средств защиты – эти вопросы были в центре повестки прошедшего 23 сентября BIS Summit.

ОПРЕДЕЛИТЬСЯ С НАИБОЛЕЕ ЗНАЧИМЫМИ РИСКАМИ

В настоящее время основная задача регулятора и банков заключается в том, чтобы определить наиболее значимые риски ИБ и понять, какие решения в финансово-кредитных организациях требуют самой быстрой замены, заявил на BIS Summit директор департамента информационной безопасности Банка России Вадим Уваров.

«Сейчас в Центробанке создан Центр по координации технологического суверенитета в кредитно-финансовой сфере, основная задача которого получить данные от банков по иностранным решениям и вместе с коллегами из Минцифры и Минпромторга предоставить возможность получить объективную информацию о тех продуктах и решениях российских разработчиков, которые могут быть использованы в будущем», – сказал он.

По мнению чиновника ЦБ, сейчас не нужно кидаться сразу во все тяжкие с точки зрения импортозамещения, необходимо действовать взвешенно и разумно, в соответствии с выработанным форматом. «По каждой конкретной финансово-кредитной организации мы хотим составить технологическую карту, чтобы понимать, какие есть критичные бизнес-функции, которые могут в моменте времени перестать работать, в зависимости от используемых иностранных решений и программных продуктов», – объяснил Уваров.

Следует отметить, что Центральный банк давно озаботился проблемой замещения иностранных программных продуктов и начал эту работу ещё в 2018 году, когда были сформулированы требования для средств по защите информации вместе со специалистами из ФСБ и ФСТЭК.

ЗАМЕНЯТЬ ПРИДЁТСЯ ВСЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

Не секрет, что многие российские предприятия ранее закупили и массово внедрили у себя импортные средства защиты информации, сертифицированные в свое время Федеральной службой по техническому и экспортному контролю (ФСТЭК России). В современных условиях единственный выход из этой ситуации – планировать им замену, завил заместитель директора ФСТЭК России Виталий Лютиков.

«На сегодня у нас все сертификаты на зарубежные средства защиты за исключением двух изделий аннулированы. Поддержка по всем средствам защиты с точки зрения их безопасности на территории РФ прекращена. Формально требованиям по безопасности, установленным ФСТЭК, они не соответствуют. Значит, единственный путь (для тех, у кого такие решения функционируют – прим. ред.) – планировать поэтапный переход на отечественные средства защиты. Это стандартная работа, которую мы должны были начать намного раньше», – сказал чиновник ФСТЭК.

В качестве аргумента он также привёл указы президента России, в которых ставится задача решения данной проблемы. Речь идет об Указе № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» и Указе №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

По словам замдиректора ФСТЭК России, те модели угроз, которые ФСТЭК строила до наступления известных событий, в основном оправдали себя и в условиях резко изменившейся ситуации, за исключением одного нюанса.

«Для того чтобы минимизировать нагрузку с точки зрения применяемых мер и средств, мы придерживались методологии, согласно которой модель угроз сначала строится оператором или владельцем системы. Далее проходит её определённое согласование, и потом по модели угроз уже применяются некие меры. Некоторые угрозы, куда, например, относилось и задействование механизма влияния на средства через обновления, конечно, учитывались. Но многие операторы по понятным причинам пытались доказать, что эти угрозы неактуальны и нереализуемы. Февраль показал, что такая угроза может исходить от зарубежного вендора, и что нужно было эти риски просчитывать более взвешенно», – подчеркнул замдиректора ФСТЭК России.

Ведомство планирует в ближайшее время выпустить методики оценки критичности уязвимостей и тестирования обновлений. Это необходимо в связи с тем, что сейчас в России по многим классам средств, особенно программно-аппаратным, больше нет возможности применить, проверить, установить обновления. И заменить сетевую инфраструктуру предприятия, построенную на зарубежном решении, быстро и легко не получится.

«Поэтому мы проводим ряд мероприятий, разрабатываем некие методические документы, как минимизировать риски использования таких средств, – рассказал Лютиков. – Например, в ближайшее время мы выпустим методику оценки критичности уязвимостей. Также подготовили проекты методики по тестированию обновлений, которые можно получить тем или иным способом (каким именно – это я оставлю за скобками). Эти методики мы в ближайшее время утвердим и предоставим для применения. Это не будет означать, что мы проверили программное обеспечение на 100 %, и там ничего нет, но минимизировать наиболее критичные риски будет возможно».

ИТ КАК СРЕДСТВО ПРОИЗВОДСТВА И УПРАВЛЕНИЯ ЭКОНОМИКОЙ

Информационные технологии стали неотъемлемым средством производства и средством управления отраслями экономики и государством, высказал свою точку зрения генеральный директор Центра компетенций по импортозамещению в сфере ИКТ Илья Массух. Выключив их, можно сильно отбросить страну назад с точки зрения конкурентоспособности и нормальной жизни. Поэтому на ИТ государство будет изыскивать средства, уверен чиновник.

Характеризуя нынешнюю ситуацию с импортозамещением, он, прежде всего, выделил серьёзное движение в области промышленного ПО. Данный процесс был запущен летом с подачи председателя правительства Михаила Мишустина и подразумевает под собой тотальный пересмотр ИТ-решений в программной области по всем секторам экономики.

Было создано 33 индустриальных центра компетенции, которые взяли под контроль импортозамещение по каждой из индустрий, и в задачи которых входит изучение потребностей по переходу на российские решения в каждой из отраслей – в сельском хозяйстве, промышленности, авиации, банковской сфере и т.д.

«Информационные технологии Запад будет использовать с точки зрения доминирования. В других отраслях у них доминирования нет, а в ИТ-технологиях они оказались чуть впереди», – считает Илья Массух. Поэтому единственный способ обеспечить устойчивость экономики – это создание и внедрение собственных ИТ-решений.

«Главная задача – не бросаться всем в одном направлении и не распылять силы, а создать контур безопасности. Каждая индустрия должна выбрать уязвимые отраслевые процессы, которые необходимо заменить на отечественные. И скорее всего года за два мы сможем это решить», – высказал своё мнение эксперт.  

Текст: Оксана Дяченко

Материал также опубликован в печатной версии Национального банковского журнала (сентябрь 2022)