Журнал "Information Security/ Информационная безопасность" #6, 2024

РФ необходимо, чтобы оборудование находилось в реестре; l удорожание спецификации (реестро- вые позиции на 30% дороже). Анализ рынка телекоммуникационного оборудования показал, что российских производителей не так уж и мало, но только двое готовы попытаться пол- ностью заменить весь парк устройств. При этом удивило, что у крупного вен- дора при достаточно большой номен- клатуре различных устройств отсут- ствуют свои медиаконвертеры и сильно ограничен выбор индустриальных ком- мутаторов. А производители с более скромными линейками телекоммуника- ционного оборудования смогли предло- жить неплохой выбор индустриальных моделей и медиаконвертеров. В процессе реализации проекта мы пришли к следующим заключениям. 1. Полноценную замену всего обору- дования иностранного производства с условием наличия в реестре РЭП мы выполнить не сможем: российских KVM вообще не существовало на момент реализации проекта, а производители сетевого оборудования не смогли пред- ложить аналог Cisco ISE. 2. Переход на отечественные средства повышает стоимость спецификации, при этом российские решения уступают ино- странным по функциональным характе- ристикам. 3. Условие присутствия оборудования в РЭП на тот момент практически никто не мог выполнить, что мешало здоровой конкуренции и сильно ограничивало выбор. Решение проблемы Чтобы не жертвовать качеством и надежностью выбираемых средств, мы решили применить следующую логи- ку выбора. 1. Ослабить требование о присутствии решений в реестре. Теперь оно не является обязательным условием, но дает преимущество в выборе при сравне- нии через ТЭО. Оговорюсь, что мы при- меняли его только к вспомогательному оборудованию, не относящемуся к СЗИ для ЗОКИИ, и только если имела место безальтернативность в выборе решений. Кроме того, мы требовали официальное письмо от производителя о включении в реестр в ближайшей перспективе. В качестве дополнительного обстоятель- ства стоит отметить, что ПП–1912 на тот момент еще не вышло. 2. В случае отсутствия на рынке рос- сийских решений рассматривали зару- бежные аналоги из списка дружествен- ных стран (например, KVM китайского производства). Эти два допущения позволили нам выбрать средства и приступить к лабо- раторным испытаниям, целями которых были: l проверка на совместимость (россий- ской ОС и СУБД с серверами, ПО с сер- верами, сетевого оборудования с транс- иверами и медиаконвертерами); l подтверждение результатов эксперт- ной оценки. Все выбранные решения успешно про- шли испытания. Итоги проекта Было принято решение: для теле- коммуникационного оборудования рас- сматривать мультивендорные сборки, обязательно тестировать решения, проводить испытания на единой инфраструктуре в одинаковых усло- виях, проверять заявленный функцио- нал и совместимость СЗИ с другими программными и аппаратными сред- ствами. Таким образом мы смогли выбрать наиболее оптимальные сред- ства для: l технологических сетей, с учетом спе- цифики и требований к такому оборудо- ванию (надежность, резервированное питание, защищенное исполнение кор- пуса, соответствие требованиям МЭК 61850-3); l сетей уровня предприятия, где требу- ется высокая производительность и про- пускная способность. Конечно, применение продукции от одного производителя с точки зрения обслуживания и управления удобнее, но как показал наш опыт, на базе решений одного вендора мы не сможем заменить всю номенклатуру, вдобавок потеряем в надежности и эффективно- сти. Применение мультивендорных решений позволяют минимизировать риски зависимости от единого постав- щика, в том числе с точки зрения сроков поставки. Реализуемость ПП-1912 После вступления в силу ПП-1912 усложнился выбор программно-аппа- ратных комплексов для применения на значимых объектах КИИ, затруд- нился процесс обоснования примене- ния решений, не входящих в единый реестр российской радиоэлектронной и не имеющих соответствующих сер- тификатов ФСТЭК России и (или) ФСБ России, – требуется доказательно пока- зать отсутствие российских аналогов. В табл. 1 приведно общее видение проблематики выполнения требований ПП-1912 и путей их решения. l • 41 Защита объектов кии и комплаенс www.itsec.ru На правах рекламы Риски Решение Субъект КИИ не успеет в установленный срок до 1 января 2030 г. перейти на доверенные ПАК Составление поэтапного плана перехода и контроль за его соблюдением Для тех, кто не успевает выполнить требования, – заключать форвардные контракты Одним из решений может стать надежда на перенос сроков, но как показывает опыт, такое развитие событий маловероятно Большая финансовая нагрузка на субъект КИИ Использовать поддержку от государства, получить субсидии Привлечь дополнительные инвестиции Начать формирование бюджета уже сейчас, чтобы распределить финансовую нагрузку на более длительный срок Неготовность рынка обеспечить замену иностранных решений ИТ, ИБ, АСУ ТП Поддержка государства, госзаказы Релокация иностранных решений в Россию – это в большей степени относится к работающему на промышленных предприятиях и хорошо себя зарекомендовавшему оборудованию АСУ ТП Большой спрос на российские решения приводит к тиражированию, что может привести к ухудшению качества Преемственность технологий, реверс-инжиниринг ведущих иностранных решений Внедрение процессов безопасной разработки ПО Тестирование, пилотирование программных и аппаратных средств Налаживание партнерских взаимодействий между разработчиками, субъектами КИИ и интеграторами Несоответствие требованиям (доверенный ПАК, реестровые позиции, наличие сертификатов ФСТЭК России, ФСБ России) Взаимодействие с регулятором, упрощение процедур Разработка дополнительной нормативно-правовой базы Появление систем добровольной сертификации (как пример, созданная госкорпорацией "Росатом" система "КИИ-СЕРТ" 4 ) Таблица 1. Анализ выполнения требований ПП-1912 4 https://кии-серт.рф/ Ваше мнение и вопросы присылайте по адресу is@groteck.ru