Перевод иностранного ПО на российское для объектов КИИ

[samsony1]

Перевод иностранного ПО на российское для объектов КИИ

С 31 марта 2022 года указом президента госзаказчикам запрещено закупать иностранное ПО для любых объектов критической информационной инфраструктуры (КИИ). Полностью отказаться от его использования они должны с 1 января 2025 года.

[samsony1]

Почему актуален запрет использования зарубежного ПО на любых объектах КИИ, включая негосударственные?

Безопасность объектов КИИ требует особого внимания. Например, если говорить о предприятиях военно-промышленного комплекса — сейчас, когда ведется специальная военная операция, они должны быть максимально защищены. Информационная безопасность критически важна для них. Использование иностранного софта на объектах КИИ сегодня влечёт реальные риски для предприятий — вмешательство через импортный софт может полностью остановить работу этих организаций, что приведёт к серьёзным социальным и технологическим последствиям. В этой связи переход на отечественное ПО актуален и неизбежен.

[samsony1]

Какие сложности и риски могут возникнуть у компаний при переходе на российский софт?

Нужно крайне аккуратно подходить к реализации проектов по миграции данных на российские решения. Информация слишком ценный продукт, чтобы им пренебрегать. Просто «взять и перейти» — сходятся эксперты во мнении — не получится. Организациям придется столкнуться с трудностями. Задача, с одной стороны, срочная. При этом, учитывая количество иностранного софта, она может занять достаточно много времени. Финансирование со стороны государства — инвестиций, развития стартапов и технологий, — возможно, ускорит процесс. Импортозаместить в перспективе можно, отечественные разработчики уже сегодня предлагают хорошие решения, но их все равно нужно дорабатывать под инфраструктуру предприятий.
Стоит обратить внимание на то, что сроки вступления запрета на зарубежный софт для различных отраслей и типов информационных систем будет устанавливать правительство, то есть пока они еще не установлены. Предполагается, что они должны быть синхронизированы со сроками готовности к массовому внедрению соответствующих отечественных решений. Так что, многое зависит и от самих разработчиков.

[samsony1]

Глава Минцифры Максут Шадаев рассказал, что будет с госорганами и компаниями, которые не успеют импортозаместить КИИ к концу года

Не все организации с критической информационной инфраструктурой классифицировали свои объекты честно, чтобы избежать исполнения указа президента РФ о переходе на российское ПО к началу 2025 г. Какая участь ждет госорганы и компании с КИИ, которые с задачей миграции в установленные сроки не справились, на CNews FORUM рассказал глава Минцифры Максут Шадаев.


Переход на российское откладывается

Окончательные итоги миграции субъектов КИИ на российский софт Минцифры планирует подвести в начале 2025 г. – об этом рассказал глава ведомства Максут Шадаев. По его словам, уже сейчас очевидно, что будут те компании и госорганы, которые не смогут в полном объеме перевести свои системы на российские решения.

«По каждому такому случаю будет проведен определенный анализ причин. Причины в большинстве случаев банальны и связаны с отсутствием финансирования. Начиная с 2022 г. все эти задачи были поставлены, но те же самые расходы на федеральные ведомства, на "цифру", увеличены не были, – отметил Шадаев. – Дальше будут какие-то организационные выводы делаться».

Ответственность для разработчиков

Максут Шадаев также напомнил об ответственности разработчиков, работающих с замещением критической информационной инфраструктуры. По его словам, за последний год было возбуждено два уголовных дела по факту ненадлежащей разработки ПО, которое не удовлетворяло элементарным требованиям по организации удаленного защищенного доступа и «работало кое-как».

«В одном из таких случаев это сказалось на функционировании целой отрасли в течение значимого времени, – отметил Шадаев. – КИИ – это то, что влияет на критические процессы экономики, функционирование важнейших предприятий и производств, без которых мы жить не можем. Это большая ответственность для разработчиков».

Закон о КИИ

Напомним, до 1 января 2025 г. компании с критической информационной инфраструктурой должны были полностью перейти на российское программное обеспечение по кибербезопасности в соответствии с указом главы РФ Владимира Путина от 30 марта 2022 года «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Указ касается организаций в 14 сферах деятельности, среди которых топливно-энергетический комплекс, финсектор, здравоохранение, наука, транспорт, связь и другие отрасли. В общей сложности, как подсчитывали эксперты, требование касается около 500 тыс. организаций, что составляет 90-95% всей экономики страны.

По данным Минцифры, на объектах КИИ было замещено более 84% импортного софта.

источник - здесь

[samsony1]

АО «Глонасс» полностью перешло на российские ПО, ноутбуки и мониторы

Акционерное общество «Глонасс» (компания-оператор государственной информационной системы «ЭРА-ГЛОНАСС») использует в работе исключительно отечественные ноутбуки и мониторы. Об этом корреспонденту «Телеспутника» рассказал руководитель проектов по авиации компании Сергей Кукарев. Беседа состоялась 7 ноября в кулуарах конференции «Баркемп. Национальная технологическая революция» в Санкт-Петербурге.

«Ноутбуки и мониторы у нас все стоят российские. Что касается программного обеспечения, то мы — оператор государственной информационной системы. И по этой причине работаем исключительно на отечественных алгоритмах. Сама "ЭРА-ГЛОНАСС" — это проект технологического суверенитета России. Все ПО для самой системы собственной разработки и полностью импортонезависимо. При разработке устройств для гражданской беспилотной авиации мы прямо ставим задачу нашим технологическим партнерам создавать устройства с российскими алгоритмами шифрования», — ответил Кукарев на вопрос о процессе импортозамещения в компании.

В августе АО «Глонасс» разместило информацию о тендере на поставку ноутбуков. Важным нюансом в документе указывалось то, что товар должен быть включен в реестр промышленной продукции, произведенной на территории РФ, реестр промышленной продукции, произведенной на территориях Донецкой Народной Республики, Луганской Народной Республики, или реестр промышленной продукции, произведенной на территории государства — члена Евразийского экономического союза.

источник - здесь

[samsony1]

T2 заместит зарубежное ПО российским софтом от родственного «Базиса»

T2 (экс-Tele2) заключил контракт на поставку комплекса решений виртуализации с компанией «Базис» (СП «Ростелекома», Yadro и «Рубитеха»). Тем самым оператор заменяет софт ушедшего из России американского разработчика VMware. Такая сделка могла обойтись T2 в 500-800 млн рублей, считают аналитики

Оператор Т2 (ранее Tele2, принадлежит «Ростелекому») закупил комплекс решений виртуализации у компании «Базис» (СП «Ростелекома», Yadro и «Рубитеха»), рассказали Forbes в «Базисе». Софт заменит в инфраструктуре Т2 иностранные средства виртуализации, в том числе от американского разработчика софта для виртуализации VMware. Такие решения используются для создания виртуальных представлений серверов, хранилищ, сетей и других физических устройств, позволяя одновременно работать ряду виртуальных машин на одном физическом сервере.

«Базис» поставит Т2 несколько решений для виртуализации, а также услуги инсталляции и техподдержку для 69 регионов, где у оператора 48 млн абонентов. Контракт заключен на три года, рассказали в «Базисе». «Мы провели тесты и сравнили ценовые характеристики 11 платформ и средств виртуализации. По итогам сравнения был выбран «Базис», — сообщили Forbes в Т2.

источник - здесь

[samsony1]

Развитие российского рынка ПАК обеспечит цифровую независимость

Доверенные ПАК – это радиоэлектронная продукция, в том числе телекоммуникационное оборудование, программное обеспечение (ПО) и технические средства, работающие совместно для выполнения одной или нескольких сходных задач.

Полностью отечественные разработки вносятся в реестр Минцифры, что дает преимущества при участии в госзакупках. Также ведется работа по стандартизации ПАКов для объектов КИИ.
Несмотря на единодушие экспертов в том, что рынок ПАК переживает рост, они отмечают и трудности, с которыми сталкивается быстрорастущий рынок.

Усиливающееся давление повысило темпы роста IT-отрасли, цифровизация ожидаемо сместились в сторону перехода на импортонезависимые решения, в том числе ПАК. Приоритетами являются создание продуктов на основе собственной аппаратной и программной базы. Сейчас формируются решения как в части работы с КИИ, работы с данными, инфраструктурные решения, в том числе IoT-инфраструктура, фото-видео фиксация. Если программную часть комплекса уже можно смело назвать полностью отечественной, то в «железном» направлении есть куда расти. Что-то мы делаем на основе собственной производственной линии, часть заказываем у партнёров. Кроме того, мы очень внимательно следим за отечественными наработками профильных предприятий, прорабатываем возможность использования в своём оборудовании, всегда держим в фокусе вопрос повышения локализации.
- отметила Технический директор АО «Росатом Инфраструктурные решения» Наталья Данковцева.

В последние годы наблюдается активное развитие и рост отечественных разработок, что связано с общими тенденциями импортозамещения, и с повышением интереса к локальным решениям. Однако если говорить о полноте рынка, то он ещё далек от идеала. Многие находятся в процессе импортозамещения. К сожалению, мы пока не можем полностью уйти от закупки импортных электронных компонентов для оборудования, но производственные мощности в России постепенно наращиваются. На данный момент некоторые западные решения были успешно замещены отечественными аналогами. В том числе «Цифра» вывела на рынок такие решения, как система видеообзора и предотвращения столкновений «Обзор 360», «Контроль зубьев ковша» и «Гранулометрия». Однако полное замещение западных технологий требует времени, поскольку многие решения, особенно те, которые связаны с высокими технологиями и инновациями, например, радарные системы контроля устойчивости бортов карьера, промышленный WiFi, машинное зрение, ПАКи на базе лидаров и тепловизоров, на текущий момент так и остаются под контролем зарубежных производителей.
- прокомментировал Денис Корнеев, Руководитель инженерной службы горного дивизиона ГК «Цифра».

Можно смело говорить о том, что основные драйверы востребованности - это улучшение качества жизни, обеспечение разных аспектов безопасности, обработка и организация инфраструктуры доверенного хранения данных, в том числе больших. Если говорить о наших заказчиках и решениях, то рынок активно интересуются темой интернета вещей, цифрового ресурсоснабжения, фотовидеофиксацией. Есть запросы на продукты для ресурсоснабжающих организаций, в том числе электрогенерации, водоканалов и теплоснабжения. Большое внимание к нашей инфраструктурной IoT-платформе, используя которую можно быстро и с минимальными затратами построить систему АСУТП любой сложности. Основные типы комплексов фотовидеофиксации: контроль и фиксация нарушений ПДД/благоустройства, детекция транспорта для управления дорожным движением и комплексы, в автоматическом режиме распознающие подозрительные и опасные события. Мы создаем продукты не для того, чтобы замещать функционал отечественных решений, которые уже используются на рынке, а создаем новое, востребованное и эффективное.
- заявила Технический директор АО «Росатом Инфраструктурные решения» Наталья Данковцева.

источник - здесь

[samsony1]

Зима близко: готовы ли предприятия КИИ к 1 января?

согласно Указу Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» от 1 мая 2022 года существенные изменения в области ИБ должны быть реализованы к 1 января 2025 года у корпоративных заказчиков, на которых он распространяется – в органах государственной власти, госкомпаниях, системообразующих предприятиях и субъектах КИИ.

Всего под действие Указа, по экспертным оценкам, попадает около полумиллиона российских компаний, которые менее чем через два месяца должны завершить ряд действий.
Во-первых, требуется перейти на доверенные средства защиты информации.
Во-вторых, в Указе отмечен ряд оргмоментов: компаниям, попавшим под действие Указа, нужно обеспечить мониторинг ИБ-рекомендаций, направленных на нейтрализацию актуальных угроз, список которых рассылает ФСБ и ФСТЭК, предписано создать выделенное структурное подразделение, отвечающее за «кибербез», а приобретать ИБ-услуги можно только у организаций, имеющих лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.

«Конечно, мы будем выполнять Указ Президента, – сказал Игорь Ляпунов, генеральный директор группы компаний «Солар», выступая на GIS Days 2024. – К первому числу все будет выполнено, без сомнений». В самом Указе прописано, что персональная ответственность за его исполнение ложится на глав предприятий, напомнили выступавшие. В случае невыполнения требований Указа к нарушителям будут применены меры, как и в других случаях, когда нарушают законы страны.

Что беспокоит игроков рынка

Чем ближе окончательная дата – 1 января 2025 года – тем больше представители компаний начинают волноваться, отметила в своем выступлении Наталья Касперская, президент InfoWatch. На изменения в ИБ было отведено Указом более двух с половиной лет, но и объем работ был значительным, как и размеры требуемых для этого инвестиций.

В процессе работ не было обнаружено существенных технических препятствий для перехода российских предприятий на доверенные СИЗ. Некоторые «узкие места» присутствуют, как признали в Минцифры, из-за этого возникают определенные сложности, но они не массовые, а нишевые. Например, есть проблемы, связанные с высоконагруженными NGFW. Однако это не меняет общую картину, например, упомянутых высокопроизводительных межсетевых экранов нового поколения нужно порядка сотни на всю страну. Однако отсутствие технических проблем не исключает присутствие экономических.

Перестройка ИБ-систем до состояния, соответствующего требованиям Указа, потребовала от российских компаний выполнения ряда технически сложных и достаточно дорогостоящих действий. Предприятия без энтузиазма отнеслись к необходимости инвестирования в импортозамещение СЗИ: у российских компаний нет свободных денег, которые можно было потратить на оборудование, не приносящее явной экономической выгоды. Замена работающего на другое работающее без явной экономической подоплеки не привлекает российские предприятия, признал Игорь Ляпунов, особенно сейчас, в условиях возросшей налоговой нагрузки и при растущем кредитном давлении.

Многие предприятия и организации не спешили производить действия, требуемые Указом, ожидая, что сроки исполнения требований Указа буду перенесены. Но ситуация иная. Сроки перехода на доверенные СИЗ перенесены не будут, уверен Николай Нашивочников, заместитель генерального директора «Газинформсервис»: «Регулятор высказал свою позицию и его слова были услышаны».

Необходимости в переносе сроков нет: меры, прописанные в Указе, по большей части уже выполнены. Это подтверждает недавний опрос компании InfoWatch, проведенный в сентябре, о котором напомнила в выступлении Наталья Касперская: только 5% заявили, что не успеют исполнить требования Указа к сроку.

источник - здесь

[samsony1]

CNews: Обеспечение кибербезопасности объектов КИИ — не только законодательная обязанность, но и осознанная необходимость, особенно с учетом интенсивных и целенаправленных кибератак. Как можно повысить эффективность защиты элементов КИИ и упростить взаимодействие с ГосСОПКА?

Алексей Жуков: К субъектам КИИ относятся почти все категории организаций, которые находятся в фокусе внимания различных категорий атакующих, включая проправительственные кибергруппировки из различных недружественных стран. Их кибероперации грозят не только очевидными и разрушительными воздействиями (кибердиверсии, уничтожение инфраструктуры, утечки данных), но и менее заметными долгосрочными последствиями кибершпионажа и хищения интеллектуальной собственности.

Вопросы защиты критической инфраструктуры от кибератак обсуждаются уже давно. Так, в США соответствующая президентская директива была выпущена еще в 1998 году, а в ЕС сформировали программу по защите критической инфраструктуры в 2006 году.

Несмотря на то, что отечественная нормативная база для защиты КИИ сформировалась относительно недавно, законодательные требования достаточно строги. Например, для значимых объектов КИИ время передачи отчетности о киберинциденте в НКЦКИ через систему ГосСОПКА составляет не более 3 часов с момента его обнаружения. Это является веским доводом в пользу автоматизации взаимодействия с НКЦКИ, поэтому в нашем RT Protect SOC мы применяем модуль взаимодействия с ГосСОПКА решения Security Vision SOAR, который позволяет автоматизировать формирование и отправку отчетности по инцидентам, получение бюллетеней и запросов от НКЦКИ, а также учитывает требования регулятора в части временных нормативов, формата сообщений, протоколов сетевого взаимодействия.

Однако основной задачей ИБ-подразделений в субъектах КИИ должно быть не соблюдение формальных требований, а реальная и эффективная кибербезопасность, особенно с учетом высокой доли цифровизации современных промышленных и государственных объектов, на которых целесообразно будет контролировать критичные сетевые сегменты с использованием подхода Zero Trust и выявлять скрытые инциденты с помощью систем обнаружения аномалий.

источник - здесь

[samsony1]

постановление правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры РФ на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах критической информационной инфраструктуры РФ» – с 1 сентября 2024 года запрещается приобретать и использовать ПАК, не являющихся доверенными.

Поясняется, что «подтверждением отсутствия произведённых в РФ доверенных программно-аппаратных комплексов, являющихся аналогами…, являются заключения … , выданные министерством промышленности и торговли РФ».

Ответственными за организацию перехода субъектов КИИ на преимущественное применение доверенных ПАК в соответствующих сферах (областях) деятельности определены Минздрав, Минобрнауки, Минтранс, Минцифры, Минэнерго, Минпромторг, Минфин, Росреестр, Росатом, Роскосмос, ЦБ РФ. Указанным организациям необходимо до 1 сентября 2024 определить ответственное за переход должностное лицо в должности не ниже заместителя руководителя.
«Доверенный программно-аппаратный комплекс» определяется в документе как «программно-аппаратный комплекс, который соответствует одновременно всем критериям признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами, указанным в приложении» (сведения о программно-аппаратном комплексе содержатся в едином реестре российской радиоэлектронной продукции, программное обеспечение соответствует требованиям для использования органами государственной власти и т.д.).

Переход субъектов КИИ РФ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ должен быть завершен до 1 января 2030 года.

источник - здесь

[samsony1]

Среди НПА, ограничивающих применение иностранных решений и непосредственно относящихся именно к субъектам КИИ, стоит выделить следующие.

НПА с прямыми запретами и ограничениями:
1. Указ Президента РФ от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»;
2. Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
3. Постановление Правительства РФ от 22.08.2022 № 1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом “О закупках товаров, работ, услуг отдельными видами юридических лиц” (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации»;
4. Постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации».

НПА с косвенными запретами и ограничениями:
1. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
2. Приказ ФСТЭК России от 02.06.2020 № 76 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».

Все нынешние законодательные требования, как уже действующие, так и вступающие в силу в ближайшие годы, ненавязчиво намекают на то, что в ЗО КИИ проще всего применять отечественные ПО и доверенные ПАК, а средства защиты выбирать из реестра сертифицированных по требованиям ФСТЭК России.

источник - здесь

[samsony1]

Изменились правила категорирования: перечень объектов КИИ больше не нужен

19 сентября 2024 года было принято Постановление Правительства №1281, которое вносит изменения в правила категорирования объектов критической информационной инфраструктуры (КИИ). Оно освобождает организации, которые являются субъектами КИИ, от обязанности по разработке перечней объектов КИИ, подлежащих категорированию.

Изменения, вносимые в Постановление Правительства №127 , убрали обязанность для субъектов КИИ формировать перечни объектов КИИ и необходимость их направления во ФСТЭК России. Регулятор посчитал избыточными формирование перечней объектов КИИ, так как профильные министерства совместно со ФСТЭК России за последние 2 года уже сформировали перечни типовых отраслевых объектов КИИ, которые могут использоваться в качестве исходных данных при категорировании.

«Несмотря на изменения в законодательстве, субъекты КИИ будут продолжать составлять перечни своих объектов КИИ. Однако теперь они смогут делать это без привязки к обязательным формам, а также без необходимости утверждения перечня руководством и направления его в ФСТЭК России. Скорее всего, фиксировать перечень объектов КИИ будут в протоколах заседаний комиссий по категорированию объектов КИИ и пересматривать по необходимости», — комментирует Алёна Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT.

источник - здесь