Журнал "Information Security/ Информационная безопасность" #6, 2024

План реализации системы безопасно- сти КИИ включал в себя разработку типового технического проекта для нескольких видов бизнеса заказчика с последующей адаптацией проекта на разные площадки. На момент разработ- ки типовых технических решений еще не было требований по импортозаме- щению, поэтому выбор СЗИ проводился с учетом всего спектра рынка ИБ, доступ- ного на тот момент. Мы выбирали луч- шие средства по техническим и ценовым показателям. Например, в качестве СЗИ в составе подсистемы сетевой безопас- ности был выбран NGFW FortiGate от американской компании Fortinet. NGFW FortiGate был запроектирован как типо- вое средство межсетевого экранирова- ния и успешно внедрен нами на пилотных площадках. Его функционал закрывал не только классический для такого клас- са решений набор мер приказа ФСТЭК России № 239 (защита периметра, сег- ментирование информационной систе- мы, организация демилитаризованной зоны, управление сетевыми потоками), но и меры по предотвращению вторже- ний и антивирусной защите за счет наличия сертифицированных модулей IDS/IPS и потокового антивируса. С точки зрения удобства наладки и эксплуатации нареканий к средству защиты также не возникло. Испытания и продолжительные пилоты доказали эффективность и надежность выбран- ного решения. К середине 2022 г. средство было выбрано и согласовано с заказчиком, успешно завершено пилотирование, – NGFW FortiGate был принят в постоянную эксплуатацию на двух площадках. И грянул гром! Во время адапта- ции типового про- екта на остальные площадки вступают в силу требования по импортозамеще- нию! И сразу воз- никает вопрос выбора решений на замену. А готов ли российский рынок ИБ предложить ана- логи? Очевидны также стали послед- ствия: перепроекти- рование, повторное сравнение и выбор, проведение испыта- ний. Но обстоятель- ства не оставляли вариантов для маневра, и мы начали процесс пересмотра технических решений с анализа российского рынка NGFW. Были приглашены на испытания все пятнадцать российских производителей межсетевых экра- нов, существующих на тот момент времени. Откликнулись не все. Показательно, что после получения методики тестиро- вания четыре производителя отказались принимать участие, еще двое отказались от продолжения испытаний уже в про- цессе. В итоге участие в тестировании приняли пять вендоров, что говорит об ограниченности выбора на российском рынке и о незрелости продуктов. Причем, только два решения из пяти смогли пройти испытания без критичных сбоев и показать приемлемый результат. На рис. 1 приведены данные по двум решениям, показавшим самые низкие и самые высокие результаты. Видно, что в целом показатели неудовлетворительные, никто не про- шел порог в 50% успешно выполнен- ных тестов. По ряду тестов было выявлено лишь частичное соответ- ствие – испытания пройдены с замеча- ниями и требуется доработка реше- ния. Впрочем, не все производители заявили о готовности доработать свои продукты и принять участие в повтор- ных тестах. По итогам можно сделать вывод, что ни одно из представленных средств не имело такого же функ- ционала как у NGFW FortiGate. Напри- мер, сертифицированного модуля потокового антивируса не оказалось ни у одного из российских произво- дителей. Помимо этого, из пяти тести- руемых решений импортонезависи- мыми были только два. По результа- там оценки экономической состав- ляющей получилось, что заказчик может получить более дорогостоящие NGFW с меньшим функционалом, чем у FortiGate. 28 • СПЕЦПРОЕКТ Из истории одного проекта по замене NGFW омплексный проект по созданию системы защиты объекта КИИ, о котором пойдет рассказ, стартовал до ввода в действие нормативно-правовой базы о технологической независимости, но к завершающей стадии проекта мы все же столкнулись с этими изменениями в законодательстве. Рассмотрим, каким образом удалось перестроить проект и преодолеть возникшие сложности в части использования решений класса NGFW. К Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС” Рис. 1. Самые низкие и самые высокие результаты испытаний Фото: Сергей Куваев