Сто дней до указа

Готовы ли бизнес и госсектор к выполнению требований президента об импортозамещении ПО

Согласно указам президента, с 1 января 2025 года вводится запрет на применение зарубежного софта, средств защиты информации и сервисов кибербезопасности на объектах критической информационной инфраструктуры (КИИ). По оценкам экспертов, реализовали эти требования в полном объеме только четверть отечественных компаний. Тем не менее регуляторы не планируют переносить сроки выполнения указов. Участники рынка рассказали о готовности российских организаций к обеспечению технологического суверенитета в материале RSpectr.

БОЛЬШИНСТВО ПРАВИТ

По данным Ассоциации BISSA, которая провела опрос на тему выполнения требований указа № 166 об ограничении импортного ПО на объектах КИИ, лишь 7% респондентов выполнили их полностью. Собираются выполнить все требования к 1 января 2025 года еще 8%, думают, что смогут частично их выполнить, – 32%.

Что касается указа № 250 о дополнительных мерах по информационной безопасности, в BISSA подсчитали, что

только 25% опрошенных смогли реализовать их в полном объеме на данный момент

Не смогут выполнить требования к указанному сроку 20% участвовавших в опросе.

Перенос срока выполнения указа президента № 250 не планируется, заявил директор Департамента обеспечения кибербезопасности Минцифры Евгений Хасин на прошедшей 19 сентября в Москве конференции BIS Summit.

Евгений Хасин, Минцифры:

– Мы высоко оцениваем готовность к замещению отечественными аналогами средств защиты информации на объектах КИИ. За 2023–2024 годы прирост на объектах КИИ отечественных средств защиты информации (СЗИ), включенных в реестр ПО, составил 462%.

Не будет выступать с инициативой переноса сроков вступления указа президента и Федеральная служба по техническому и экспортному контролю (ФСТЭК России), сообщил на BIS Summit заместитель директора ФСТЭК Виталий Лютиков.

Виталий Лютиков, ФСТЭК России:

– Только 20% организаций не успевают выполнить положения президентского указа, однако 80% это смогут сделать в установленные законом сроки. Меньшинство не должно управлять большинством.

Участники рынка имеют иное мнение. Завершить работы по переходу на отечественное ПО к 1 января 2025 года не успеет около половины компаний, отметил в беседе с RSpectr директор по стратегии и развитию технологий Axiom JDK Роман Карпов.

Роман Карпов, Axiom JDK:

– Это неплохой результат, учитывая, что риторика импортозамещения, в том числе нормативная, начинается с 2014 года, а реальная активная работа по апробации и замещению зарубежного ПО идет только на протяжении последних полутора-двух лет.

ГОТОВНОСТЬ НОМЕР ОДИН

Руководитель направления развития бизнеса DCLogic Дмитрий Лямин в беседе с RSpectr подчеркнул, что российский бизнес к выполнению указов готов лишь частично.

Дмитрий Лямин, DCLogic:

– Многие не осознают масштаб предстоящих изменений и считают, что указ № 250 их не затрагивает. Некоторые малые организации полагают, что их не будут проверять и штрафовать, так как они всего лишь небольшие игроки на ИТ-рынке.

Руководитель направления консалтинга информационной безопасности компании «Диасофт» Мария Курносова обратила внимание, что

применение иностранных СЗИ будет запрещено для всей инфраструктуры субъектов КИИ, а не только в рамках принадлежащих им объектов КИИ

Это миллионы организаций, которые годами создавали и наращивали инфраструктуру, цифровизировали и развивали бизнес-процессы, прокомментировала она RSpectr.

Мария Курносова, «Диасофт»:

– Если говорить о небольших организациях, то для их нужд российские разработчики готовы успешно заменить зарубежных. При этом основной сложностью остается финансирование, ведь приобретение российских средств защиты обойдется дорого.

На данный момент готовность российских организаций к реализации указа № 250 можно считать неоднозначной, поделилась с RSpectr руководитель экспертно-аналитического отдела ALMI Partner Елена Куц. По ее мнению,

многие из решений все еще нуждаются в сертификации и доработках, чтобы полностью соответствовать требованиям КИИ

Отсутствие единого стандарта в области безопасности также может вызвать определенные трудности, полагает она.

Елена Куц, ALMI Partner:

– Часто российские компании разрабатывают решения, которые не всегда могут легко интегрироваться друг с другом, что затрудняет общий процесс защиты информации.

Уже в прошлом году более 90% прикладных ИБ-решений, которые были внедрены в России, были отечественными, но при этом существуют проблемы с системной частью, отметил в беседе с RSpectr заместитель генерального директора по инновационной деятельности «СёрчИнформ» Алексей Парфентьев.

По его словам, когда заказчики внедряют новое прикладное СЗИ, оно должно работать в комплексе с операционными системами, базами данных, сервисами и оборудованием. Однако

перед разработчиками стоит задача оперативно доработать полноценный функционал под большое количество ответственных ОС, баз данных и сервисов

В части программных ВКС-решений к 1 января 2025 года до 90% объектов КИИ могут полностью отказаться от использования иностранного ПО для видеоконференций, выбрав достойную российскую альтернативу подходящего технологического класса, рассказал RSpectr директор по развитию бизнеса VINTEO Борис Попов.

В части корпоративного офисного ПО, действительно, проблем меньше, они есть в сфере автоматизации бизнес- и производственных процессов, отметила в беседе с RSpectr руководитель ИТ-подразделения Агентства «Полилог» Людмила Богатырева. Она уточнила, что многие компании, которые начали использовать иностранные решения десятилетие и более назад, зачастую

продолжают «сидеть» на этих продуктах, которые сейчас очень глубоко интегрированы в их бизнес-процессы

Людмила Богатырева, «Полилог»:

– Это особенно актуально для решений класса ERP, CAD и MES, так как они в большей степени подвергаются кастомизации под конкретную организацию или отрасль, а значит, и их бизнес-процессы больше завязаны на конкретное решение.

Глава АНО «Национальный центр компетенций по информационным системам управления холдингом» (НЦК ИСУ) Кирилл Семион обратил внимание RSpectr, что

сложнее всего ситуация с импортозамещением в тех отраслях, которые использовали «тяжелые» специализированные решения, такие как САПР

Кирилл Семион, АНО «Национальный центр компетенций по информационным системам управления холдингом»:

– У отечественного ПО продолжает развиваться функционал. Одновременно с этим производится адаптация прикладного софта под импортонезависимые операционные системы и базы данных. На решение этой задачи стране потребуется примерно три года.

ПРОТИВОРЕЧИВЫЙ ХАРАКТЕР

Для некоторых программных продуктов, критически важных для функционирования предприятий,

замена в короткие сроки представляет серьезную проблему

указал RSpectr заместитель гендиректора Staffcop Юрий Драченин. По его словам, отсутствуют необходимый опыт, компетенции и готовые решения. Эксперт считает, что для таких продуктов сроки перехода будут скорректированы регуляторами.

Юрий Драченин, Staffcop:

– Однако указ о запрете софта из недружественных стран не исключает возможность использования ПО из дружественных. Но качество их продуктов не всегда соответствует требованиям российских стандартов по защите конфиденциальной информации.

СЗИ всегда были и останутся составной частью высоконагруженной постоянно используемой ИТ-инфраструктуры,

что создает риски ограничения работы КИИ

обратил внимание RSpectr директор по сервису ЕСА ПРО (ГК «Кросс технолоджис») Михаил Назаров.

Михаил Назаров, ЕСА ПРО:

– Большинство российских средств защиты уже сегодня обладают тем же функционалом, что их иностранные аналоги, но показателям их производительности еще предстоит догнать ведущие мировые бренды.

Возможности российских решений не всегда соответствуют зарубежным аналогам, соглашается с ним начальник управления тестирования безопасности «Т1 Иннотех» Максим Щедрин. По его словам,

в ходе импортозамещения у компании также может возникнуть необходимость доработки отечественного аналога

для чего нужны дополнительные затраты со стороны вендоров, прокомментировал он RSpectr.

Максим Щедрин, «Т1 Иннотех»:

– В условиях, когда заказчиков много, их запросы могут носить противоречивый характер. В результате вендоры вынуждены приоритизировать задачи и выполнять их последовательно, что влияет на сроки получения необходимой функциональности.

Председатель комиссии по финансовой безопасности совета Торгово-промышленной палаты (ТПП) РФ по финансово-промышленной и инвестиционной политике Тимур Аитов напомнил, что до сих пор

ощущается дефицит в отечественных программно-аппаратных комплексах ИБ, где используется зарубежная электроника

Имеются вопросы и к отечественному оборудованию, действительно ли оно «наше», подчеркнул он в беседе с RSpectr.

Тимур Аитов, ТПП РФ:

– Если процессор высокопроизводительный, то материнская плата, скорее всего, из Китая, однако может быть и плата от «Аквариуса», но процессор и микросхемы точно не отечественные.

Эксперт не исключил перенос сроков исполнения приказов на 2027 год или более поздний срок.

Екатерина Лаштун

Изображение: RSpectr, Freepik