Названы ключевые сложности перехода ЗОКИИ на доверенные ПАКи

С 1 сентября вступили в силу поправки в закон «О безопасности критической информационной инфраструктуры» (КИИ), обязывающие использовать только российский софт на значимых объектах. Пока Минцифры готовит документы по срокам и особенностям категорирования объектов, К2Тех узнал мнения ключевых игроков рынка – заказчиков-субъектов КИИ, производителей и интеграторов.

Для 35% компаний основной проблемой при адаптации ИТ-инфраструктуры под требования регуляторов становится финансирование. Проведение аудита, закупка решений и поэтапный переход требуют значительных инвестиций. Для субъектов КИИ, среди которых не только государственные, но и коммерческие организации, это становится серьезным барьером. Стороны сходятся во мнении, что финансовая поддержка со стороны регуляторов и отраслевых ведомств может стать стимулом для компаний, откладывающий переход. Еще 18% респондентов отметили, что не понимают как действовать в сложившейся ситуации в силу отсутствия четких регуляторных требований и терминологической неопределенности.

«Для любой компании переход на доверенный программно-аппаратный комплекс – это крупный проект, начинать который следует с тщательного аудита и категорирования: что является объектом КИИ, из каких систем состоит ИТ-инфраструктура, на какие доверенные решения их можно замещать», — подчеркивает руководитель практики «Вычислительная инфраструктура и системы резервного копирования» К2Тех Михаил Косцов.

Отсутствие наработанной методологической базы — это вызов для всех участников рынка. В нормативных актах отсутствует четкое и обязательное для всех определение «доверенного ПАКа», а существующие критерии оставляют пространство для толкования, что приводит к рискам и для производителей оборудования, и для заказчиков, которые несут полную ответственность за надежность функционирования:

«Мы должны прийти к тому, что именно в регулирующих документах должно появиться, определение доверенного программно-аппаратного комплекса. Следующий шаг – это реестр, на который организации смогут опираться и тем самым разделить ответственность с производителем. Приобретая доверенный ПАК из реестра, заказчик будет уверен, что выполнил все регуляторные требования», — полагает Михаил Гилязов, директор по работе с ключевыми заказчиками Скала^р (Группа Rubytech).

Актуальными остаются вопросы производительности и отказоустойчивости собранных решений, которые могут кардинально отличаться от заявленных характеристик отдельных компонентов. За последние три года количество продуктов заметно возросло. Оборудование из реестра Минпромторга и ПО из реестра Минцифры далеко не всегда корректно работают вместе в едином комплексе. Эта проблема заставляет объединиться все заинтересованные стороны. Вендоры и интеграторы тестируют и проверяют связки решений, составляя матрицы совместимости. Компании-флагманы в своей отрасли, например, Росатом, инвестируют время и ресурсы на создание отраслевых полигонов, чтобы комплексно исследовать, тестировать и апробировать импортонезависимые решения в продуктивной среде. Регуляторы тоже этому способствуют, среди заметных инициатив – межотраслевая рабочая группа по Открытой АСУ ТП.

«Мы начинали этот путь в 2021 году. Первое, что стало очевидным – если замещать монолитную систему «в лоб», есть риски не уложиться в сроки. Поэтому мы разделили ее на микросервисы, выделили приоритетные участки и осуществляли переход поэтапно. Также необходимо учитывать функциональность решений и выбирать сертифицированные версии операционных систем и баз данных, чтобы избежать дальнейших проблем с производительностью», — отмечает директор департамента трансформации и операционного контроля информационных технологий ПАО «Банк ПСБ» Игорь Панов.

«Важный аспект – это безопасность, недекларируемые возможности, киберустойчивость.  ЗОКИИ – это критичные системы, которые необходимо защищать всеми доступными мерами: от специальных средств защиты информации до настройки внедряемой инфраструктуры.  Просто отгородить выделенный контур не получится, так как каждая информационная система должна иметь свои наложенные средства безопасности, чтобы при компрометации одной из них автоматически не была затронута другая. Другая, не менее важная, сторона – наличие элементной базы, запасных частей, SLA на поддержку и знающие продукт специалисты – все это так же влияет на бесперебойность и надежность функционирования», — комментирует руководитель направления поддержки продаж Киберпротект Владимир Орлов.

Участники рынка сходятся во мнении, что на текущий момент отсутствуют готовые отраслевые решения, а многие российские аналоги, например, для АСУ ТП и сложных ERP-систем, не соответствуют требованиям заказчиков в полном объеме.

«В этой точке начинается работа рынка с двух сторон – производителям необходимо фокусироваться на ключевых потребностях критических отраслей, а нам, как заказчику – рассматривать переход как возможность модернизировать и оптимизировать бизнес-процессы, в чем-то снизить требования относительно производительности, где это возможно. Наша общая задача – объединиться и определить ключевые пункты технического задания на разработку отвечающих всем требованиям решений, которые остаются пока не замещенными», — добавляет руководитель блока информационных технологий АО «Гринатом» Заяна Ачинова.

Несмотря на ряд сложностей стороны уверены, что успешный переход ЗОКИИ на доверенные ПАКи к 2029 году возможен. Однако требует тесной коллаборации между регуляторами, производителями, интеграторами и заказчиками. Ключ к успеху лежит в четком регулировании, создании проверенных и совместимых решений, а также в готовности всех сторон к открытому диалогу и совместной работе над преодолением технологических барьеров. Цель перехода — не только выполнение формальных требований, но и обеспечение реальной технологической независимости, киберустойчивости и надежности критически важной инфраструктуры страны.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!