Как подготовить свой бизнес к импортозамещению ИБ-продуктов

Тема импортозамещения стала основным трендом для российского рынка информационной безопасности в 2022 году, что неудивительно, учитывая массовый уход компаний с зарубежными активами. В то же время отечественные производители воспользовались отсутствием конкурентов и начали активное укрепление позиций за счет собственных мощностей. Сегодня на нашем рынке ИБ почти полноценно представлены продукты, повторяющие функционал зарубежных решений. О том, как подготовить свой бизнес к импортозамещению ИБ-продуктов, рассказал Тимофей Коптяев, системный архитектор Angara Security.

Нас к этому готовили: инициация импортозамещения в ИБ

На самом деле, вопрос импортозамещения поднимался ещё с 2014 года. Тогда очевидно проявилась зависимость большинства секторов российской экономики от политики санкций западных стран. Непредсказуемые ограничения негативно сказывались практически на каждом крупном бизнесе, в то время как технологическая зависимость от цепочек поставок программного и аппаратного обеспечения поставила под вопрос процесс реализации многих масштабных проектов, в том числе и переход на цифровую экономику.

До 2014 года большинство отечественных производителей не считали целесообразным инвестировать в разработку собственных решений для ИБ. С одной стороны, это казалось вполне логичным, ведь весь рынок занимали западные игроки с огромными маркетинговыми бюджетами. Дальнейшие же события показали, насколько подобный подход был недальновиден. Только сейчас мы понимаем, что киберконфликты даже не нуждаются в разрушительном кибероружии и достаточно отключить лицензии, подписки и облачные сервисы.

Еще в 2015 году был подписан закон, в рамках которого был создан Реестр отечественных программ и рассмотрена возможность ограничений использования зарубежного программного обеспечения при наличии подходящего российского аналога. Уже тогда отечественные компании заняли 50 % рынка программных продуктов и приблизительно 30 % продаж сегмента аппаратных решений. Все ждали 2016 год, полагаясь, что цикл разработки российских решений ИБ займет от полутора до трех лет. В последующие годы компании действительно стали больше интересоваться аналогами российского производства, хотя заказчики не спешили добровольно отказываться от зарубежных решений, которые еще не окупили себя.

 

Системный архитектор Angara Security Тимофей Коптяев

Системный архитектор Angara Security Тимофей Коптяев

 

С 2019 года Федеральной службой по техническому и экспортному контролю (ФСТЭК) был утвержден новый перечень требований, касающийся процессов разработки, производства и поддержки безопасности средств для защиты информации (СЗИ) в зависимости от уровня доверия. Новые правила устанавливали для СЗИ шесть уровней доверия, где самым низким был шестой, а самым высоким - первый. Требования вступили в силу с 1 июня 2019 года, а уже к 1 января 2020 года ФСТЭК потребовала от разработчиков и производителей СЗИ предоставить оценку соответствия своих решений. В то же время Минцифры подготовило проект приказа, в котором определялась форма и порядок предоставления информации о централизованных закупках антивирусного ПО.

Удалиться и мигрировать

Во время пандемии организации массово стали переводить персонал на удаленный режим работы, что привело к ослаблению контроля деятельности сотрудников и обнаружению их тотальной безграмотности в вопросах информационной безопасности. Это повлияло на рост утечек конфиденциальной информации, что отражалось не только на финансовом, но и на имиджевом положении компаний. Ряд ограничений экспорта из других стран заставил правительство еще больше задуматься о создании отечественных аналогов, которые способны обеспечить бесперебойную работу цифровых систем.

2022 год преподнес дополнительные трудности в виде внешних кибератак и массового ухода иностранных IT-компании. Причем стратегии у них разные: некоторые IT-компании полностью прекратили деятельность на территории РФ, другие решили пока не отказываться от взятых на себя обязательств и продолжили оказывать услуги по сопровождению своих продуктов, но остановили их продажу. К этому же добавилось усиление тренда на импортозамещение в нормативно правовой деятельности государства. Например, для ЗОКИИ по Указу Президента РФ № 166 юридические лица, перечисленные в Федеральном законе от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», не могут закупать иностранное программное обеспечение без согласования с уполномоченным Представительством РФ федеральным органом исполнительной власти. И пусть данный закон предусматривает полный запрет на использование иностранного ПО с января 2025 года, зарубежные ИБ-решения в итоге придется заменить уже сейчас. Даже если у компании не истек срок действия лицензии и продукт работает стабильно, необходимо запланировать планомерный переход на отечественный аналог после детального изучения рынка.

Правильный алгоритм

Для качественного и безболезненного перехода на отечественные решения в вашей ИБ-среде необходимо обратить внимание на следующие критерии, которые в той или иной степени будут влиять на результат в зависимости от общей ИТ-архитектуры ваших бизнес-процессов и приоритетов компании.

Критерий 1 – Критичные сервисы. Для успешного импортозамещения важно определиться с тем, что необходимо защитить в первую очередь, выделить наиболее критичные для бизнеса информационные системы и процессы.

Критерий 2 – Требования регуляторов. В зависимости от рода деятельности и характера обрабатываемых данных на некоторые компании распространяются требования нормативной документации (ФЗ 187, ФЗ 152, приказ президента РФ №250), которая регламентирует применение соответствующих СЗИ. Если вы попадаете под действие какого-либо нормативного документа, то необходимо определить, на какие системы в вашей ИТ-среде он распространяется, и в приоритетном порядке импортозаместить СЗИ, обеспечивающие защиту таких систем.

Критерий 3 – Функциональность. Немаловажную роль играет функциональность текущих СЗИ, их достаточность и оптимальность. Может возникнуть ситуация, когда отечественное СЗИ не в полной мере по функционалу отвечает имеющейся: для замены одной импортной СЗИ придется установить три отечественные и потратить немалые усилия на их взаимную интеграцию. В таких случаях самое главное - отталкиваться от реальных потребностей бизнеса и особенностей информационных систем и процессов. Для обеспечения наилучшей защиты ключевых систем и процессов следует провести технический аудит, выделить наиболее уязвимые места в ПО и архитектуре искомых систем, и исходя из выявленных узких мест уже сформировать требования к функционалу защиты.

Критерий 4 – Компетенции. При выборе решения очень важно обратить внимание на имеющиеся в вашем распоряжении компетенции, на сколько ваш персонал готов к внедрению нового решения и его администрированию, потому как большинство отечественных продуктов, хоть и имеют схожий графический интерфейс управления с зарубежными аналогами, в своей основе содержат открытые программные модули, с которыми придется так или иначе работать через интерфейс командной строки, а для этого, возможно, потребуется дополнительное обучение сотрудников.

Критерий 5 – Лояльность вендора. При выборе отечественного СЗИ также важно иметь представление о компетенциях службы поддержки самого вендора – нередки случаи, когда поддержка либо не знает прямого ответа на вопрос, либо дает неправильные рекомендации, либо неприлично долго затягивает с ответом. Отдельно стоит обратить внимание на готовность вендора вносить доработки в продукт по вашим пожеланиям, на общую лояльность в рамках R&D по совместному совершенствованию решения.

Критерий 6 – Зрелость решения. Перед покупкой того или иного отечественного СЗИ стоит обратить внимание на зрелость решения. Здесь важно учитывать, как долго вендор на рынке, как много продуктов у него в портфеле, как много релизов того или иного ПО выходило, насколько полна документарная база по продуктам, какие успешные инсталляции имеются в портфолио и как часто появляется информация о продуктах в профильном медиапространстве.

Критерий 7 – Сложность замещения. Если вы приняли решение по импортозамещению всего вашего парка ИБ-решений, то сперва необходимо провести инвентаризацию всех имеющихся СЗИ и разбить их на классы по сложности замещения, после чего двигаться от простого к сложному. Весь набор ИБ-решений условно можно разделить на три класса, отражающих сложность замещения СЗИ на отечественные аналоги, где А – легко заменяемые СЗИ, Б – средне сложные по замене СЗИ и В – трудно заменимые.

  • Класс А – зрелые решения, уже хорошо зарекомендовавшие себя на отечественном рынке с отработанными сценариями внедрения, такие как антивирусы, защита от НСД, сканеры уязвимостей, DLP и PAM. Эти системы могут быть легко развернуты на имеющихся аппаратных платформах и в различных средах виртуализации, могут быть импортозамещены в кратчайшие сроки и с минимальными рисками проблем при внедрении.
  • Класс Б – к этому классу относятся всякого рода аналитические системы, которые используют множество каналов интеграции (SIEM, IRP, NAC), а также системы, работающие с источниками внешней статистики и репутационными базами (WAF, IPS/IDS/DPI, SMG, Sanbox). Такие системы также хорошо представлены на отечественном рынке, но трудность вызывает недостаточная полнота внутренних репутационных баз данных, а также сложность внедрения в существующую инфраструктуру.
  • Класс В – аппаратные платформы высокой производительности, а также системы, предполагающие работу с большим количеством трафика, такие как NGFW, IPS/IDS/DPI, защита от DDoS, NTA, UEBA. По состоянию рынка высокопроизводительных сетевых устройств, ввиду недоступности платформ из-за санкций, очередь на поставку таких устройств с полной предоплатой в некоторых вендорах уже расписана до апреля 2023 года.
  • Также стоит заметить, что есть западные решения, которые пока что в принципе не имеют аналогов на отечественном рынке и которые импортозаместить в ближайшей перспективе не удастся. К таким системам относятся SSL offloading, балансировщики (LB), контроль доставки приложений (ADC), граничные сервисы безопасного доступа (SASE и CWPP).

Критерий 8 – Пилотирование. Никогда не принимайте цифры в даташитах на веру. Показатели производительности зачастую сильно завышены и требуют кратного перезаклада при масштабировании решения. Функционал интеграции со сторонними сервисами также часто не отвечает действительности и не отрабатывает корректно. Основной профильный функционал тоже не всегда отвечает заявленным характеристикам. Всегда проводите пилотирование решений еще на стадии выбора и сравнения, проверяйте весь интересующий вас функционал и производительность, это поможет вам избежать неприятных сюрпризов.

Вместо заключения

Процесс импортозамещения очень сложный и трудоемкий, требующий учета большого количества критериев и в большинстве случаев достаточно болезненный для компании. Если вы все-таки решились на этот шаг, то настоятельно рекомендуем обращаться к профильным интеграторам, которые смогут провести аудит ключевых сервисов, сформировать требования к СЗИ, произвести грамотное проектирование и внедрение, что в конечном итоге позволит вам сэкономить время, средства и минимизировать риски. Самостоятельный же подход к внедрению отечественных продуктов может быть связан с долгим процессом наращивания соответствующих компетенций, неизбежными рисками для непрерывной работы защищаемых информационных систем и процессов, а также непредвиденными затратами, связанными с отсутствием аудита ИБ-ландшафта и неполнотой картины требуемого функционала.

В качестве общих рекомендаций при подходе к импортозамещению советуем придерживаться следующих тезисов:

  • Выбирайте решение исходя из требуемого функционала, а не просто ищите замену текущей «коробке»;
  • Обращайтесь к профильным интеграторам – под ваши требования, скорее всего, уже имеются готовые сборки отечественных решений в виде ПАК, полностью преднастроенных и закрывающих комплексно ваши потребности в защите целевых информационных систем;
  • Всегда проводите пилотное тестирование выбранных решений на соответствие вашим требованиям к функциональности и производительности;
  • Замещайте в первую очередь СЗИ, имеющие зрелые проверенные аналоги на отечественном рынке;
  • Уделяйте внимание вашим компетенциям – обеспечьте готовность персонала обслуживать новые СЗИ и работать с linux-подобными платформами;
  • Проверяйте уровень вендорской поддержки – перед выбором пообщайтесь с пользователями на форумах и в телеграм-чатах на предмет адекватности и компетентности службы поддержки, лояльности команды разработчиков, общего впечатления от общения с представителями выбранного производителя;
  • Не забывайте о требованиях закона по соблюдению нормативных актов, если таковые на вас распространяются.

Автор: Тимофей Коптяев, системный архитектор Angara Security

Тематики: Безопасность

Ключевые слова: информационная безопасность, Импорто­замещение, Angara