Планирование импортозамещения в сфере информационных технологий и информационной безопасности

Реализация политики импортозамещения в сфере информационных технологий (ИТ) и информационной безопасности (ИБ) в 2022 г. стала вызовом для российского ИТ-сегмента. При этом реальное импортозамещение в ИТ и ИБ требует не просто применения отечественных решений. Это не механический процесс замены одного решения другим. Необходима адаптация информационных процессов, категорирование критичности информации по процессам и формирование рейтинга потребности в автоматизации процессов.

Реальный уровень импортозамещения не измеряется одним объемом финансовых вложений на приобретение отечественных продуктов. Только с учетом достигаемой функциональности, обеспечения требуемой автоматизации и поддержки бизнес-процессов можно вести речь о реальном уровне импортозамещения.

Необходимо учитывать, что на настоящий момент нет федеральных стандартов (технических регламентов) импортозамещения в ИТ и ИБ. Есть только сформулированные в нормативно-правовых актах требования о необходимости импортозамещения в ИТ и ИБ, в том числе для объектов критической информационной инфраструктуры (КИИ). Решение по импортозамещению должно формироваться в конкретной организации и конкретном хозяйствующем субъекте. Реализовать такое решение без плановой и системной работы невозможно. Отсюда вытекает необходимость планирования как важного этапа работы по импортозамещению.

Особенности планирования и реализации импортозамещения в ИТ и ИБ

Процесс планирования и реализации импортозамещения в ИТ и ИБ – это не что-то исключительное в общей методике планирования. Обязательными являются предварительная оценка исходного состояния, анализ и выработка концепции, формирование перечня планируемых мероприятий, определение достаточности ресурсов и компетенций, в том числе финансовых ресурсов, формализация дорожной карты реализации импортозамещения, фиксация контрольных/реперных точек дорожной карты и определение системы контроля и обеспечения выполнения запланированных мероприятий.
Это общеизвестный подход. И останавливаться на нем – значит повторять известные истины.

Мы же сконцентрируемся на особенностях российского ИТ-рынка, которые необходимо учитывать при планировании импортозамещения, а также тех реалиях, с которыми столкнутся руководители и специалисты ИТ и ИБ в процессе импортозамещения.

Первый вопрос, на который необходимо ответить: как выстроить системную работу по импортозамещению, исходя из задач и сроков, представленных в указах Президента Российской Федерации и директивных документах Правительства Российской Федерации? Из всего набора возможных вариантов самым практичным следует признать формирование системы ИТ-проектов.

Рис. 1. Классификация ИТ-проектов по импортозамещению

Содержание ИТ-проектов

В соответствии с объемами применения отечественных решений содержание ИТ-проектов в рамках импортозамещения подразделяется на четыре группы (рис. 1):

1. Идеальный ИТ-проект – ИТ-проект на базе отечественного программного обеспечения, отечественного железа и с применением отечественных средств ИБ. Это очень ограниченная сфера ИТ-проектов.
2. Базовый ИТ-проект с высоким уровнем ИБ – ИТ-проект на отечественном ПО, импортном железе и с применением отечественных средств ИБ.
3. Базовый ИТ-проект с достаточным уровнем ИБ – ИТ-проект на импортном ПО, отечественном железе и с применением сертифицированных импортных и отечественных средств ИБ.
4. ИТ-проект с минимальным импортозамещением – ИТ-проект на базе сочетания отечественного и импортного ПО и железа, с применением сертифицированных средств ИБ.

В каждой из указанных групп ИТ-проектов решается задача импортозамещения, но объем такого решения различается. Соответственно, надо определить, что подлежит обязательному импортозамещению, а что – частичному.

Определим начальные условия. Импортозамещение "с чистого листа" – очень простой процесс: ничего нет и надо сделать. Это вариант идеального ИТ-проекта. Но реальность российского ИТ свидетельствует, что основными в импортозамещении будут базовые ИТ-проекты и ИТ-проекты с минимальным импортозамещением. Это обусловлено тем, что в подавляющем большинстве организаций имеется сложившаяся ИТ-инфраструктура и архитектура, построенная на импортном железе и с большим количеством импортного ПО. Соответственно, и техподдержка ориентирована на импортные решения.

Какие факторы влияют на импортозамещение?

Рассмотрим ряд моментов, прямо или косвенно связанных с импортозамещением и влияющих на него:

1. Импортозамещение по информационным системам целесообразно скоординировать с мероприятиями по переводу всего объема баз данных в единое унифицированное озеро данных на базе отечественного ПО. Это упростит задачу автоматизации информационных процессов на отечественном ПО.
2. Отсутствие либо недостаточная функциональность ПО не должны становиться стоп-фактором для импортозамещения. Они должны стать исходной точкой для формирования задачи разработчикам ПО.
3. Нельзя исключать ситуацию, когда для реализации импортозамещения в информационных системах потребуется корректировка устоявшихся бизнес-процессов, их адаптация под возможности отечественного ПО. Эта опция ожидаемо может быть негативно воспринята бизнесом, но она позволит решить задачу. В этом случае доработка ПО до "идеального/привычного процесса" в ближнесрочной перспективе может закладываться в перечень планируемых мероприятий.

Новый подход к ИТ-проектам

Задачи, поставленные государством по импортозамещению до 2025 г., существенно меняют традиционный подход к ИТ-проектам:

1. Сроки поставлены очень сжатые, и, следовательно, все фазы проекта, связанные со сбором информации, анализом и подготовкой предварительных предложений, необходимо минимизировать по продолжительности, чтобы обеспечить достаточное время для практической отработки и внедрения.
2. Чтобы скоординировать ИТ-решения в рамках распределенных структур, целесообразно провести экспресс-ИТ-проекты по концептуальной разработке типовых ИТ-решений на основе отечественных продуктов (и ПО, и железа).
3. Для целого ряда организаций задачи, поставленные по импортозамещению, потребуют оперативного пересмотра программ ИТ-проектов с отказом от уже выбранных импортных решений либо с жесткой локализацией импортных решений при усилении информационной безопасности.
4. Импортозамещение резко ограничивает рамки выбора программных решений. Подход можно сформулировать следующим образом: какое отечественное решение можно оперативнее адаптировать к бизнес-потребностям?
5. Обязательными для ИТ-проектов становятся две составляющие:

• отработка вопросов ИБ на основе отечественных решений;
• развертывание аппаратной части проектов с учетом отечественных решений. При этом обязательными элементами должны стать экспертиза и анализ совместимости отечественного ПО и применяемого железа.

Варианты технической поддержки

При выборе внедряемых отечественных решений необходимо анализировать и возможные варианты технической поддержки. Несмотря на различные формы, на рынке таких вариантов всего лишь три:

1. полная поддержка от производителя;
2. полная поддержка за счет собственной компетенции заказчика;
3. комбинация компетенций заказчика и производителя.

В этом перечне поддержка от интегратора-внедренца является поддержкой от производителя и не более того, только выведенной из организационных рамок производителя.

Привычным для ИТ-отрасли является комбинационный вариант, его методика обкатана.

В части импортозамещения подобную систему поддержки еще необходимо выстроить по большинству специализированного ПО и отечественного железа. Поэтому на горизонте 2–3 лет упор придется делать на внутренние компетенции заказчика, на обучение собственных специалистов.

К слову, параллельно должна появиться сеть федеральных и региональных центров компетенций по основным видам решений. По сути, это копирует подход, принятый в силовых структурах, но в нынешней ситуации он представляется целесообразным.

Подходы к планированию импортозамещения в ИТ и ИБ

Решить задачи в поставленные сроки (2025 г.) невозможно без выполнения следующих действий.

Необходима оперативная корректировка, в том числе и неплановая, бюджетов и бизнес-планов. За 2–3 месяца целесообразно скомплектовать анализ, выбрать решение, сформировать планово-экономическое обоснование (ПЭО), финансовые корректировки и принять необходимые нормативно-корпоративные решения.

Кроме того, следует пересмотреть принципы закупочных процедур. То, что раньше было "злом" – изначально выбранное решение, – с учетом отечественных реалий может стать правилом при импортозамещении. Поэтому разработка типовых решений позволит существенно сократить опросы рынка, запросы технико-коммерческих предложений (ТКП) на обезличенные требования и т.д. Это надо принять как требование ситуации.

В качестве первого шага, вне зависимости от объема ИТ, целесообразно выработать концепцию импортозамещения и получить ее одобрение у руководства. Формат такой концепции определяется в соответствии с нормативами хозяйствующего субъекта. При выработке концепции необходимо учесть:

• нормативные ограничения (указы президента, директивы правительства и иные акты);
• ресурсные, в том числе финансовые, возможности;
• технологические ограничения, в том числе реализованные архитектурные решения;
• влияние импортозамещения на производственные и управленческие процессы.

Существующие нормативные требования конкретизировали обязательную область импортозамещения – объекты КИИ. Но даже небольшой анализ показывает, что в современной информационной взаимосвязи переоснащение объектов КИИ на отечественные решения потребует переоснащения и связанных с ними объектов. Поэтому при выработке концепции следует не ограничиваться только объектами КИИ, а учитывать все информационные взаимосвязи.

Бесспорным остается тот факт, что и архитектура решений, и инфраструктура для них в подавляющем большинстве организаций сформированы на иностранных, хотя и международных, протоколах и с применением импортного оборудования. Процессы автоматизированы именно с учетом и на основе этого. Поэтому переход к импортозамещению имеет целый ряд технологических ограничений:

• необходимо адаптировать отечественные решения к уже реализуемым протоколам и архитектурным решениям либо прорабатывать этот аспект с разработчиком;
• не следует рассчитывать (особенно на начальном этапе) на полное повторение и полную замену функциональности, надо разрабатывать корректирующие и адаптационные решения;
• нужно учесть, что не под все западные бизнес-процессы удастся сразу найти отечественное ПО;
• целый ряд ограничений функциональности и производительности будет актуальным и при импортозамещении инфраструктуры.

При выработке решения по импортозамещению целесообразно проработать с управленческими и производственными подразделениями окно возможностей по функциональности информационных систем, то есть определить допущения изменения функциональности. Сразу необходимо учесть, что для технологических систем и автоматизированных систем управления технологическим процессом (АСУ ТП) такого окна возможностей не может быть по определению, только полный аналог функциональности.

Еще одно очень важное замечание: чтобы выносить вопрос импортозамещения на обсуждение с руководителями организации, необходимо представить четкое обоснование:

• почему меняем;
• что меняем;
• на что меняем и почему;
• какие силы и средства нужны;
• как предлагается решить задачу по времени;
• какой эффект будет получен к 2025 г.;
• как будет выглядеть совокупная стоимость владения новыми решениями;
• как будет обеспечена/сохранена информационная поддержка руководства и основных бизнес-подразделений в ходе и по результатам импортозамещения;
• какие контрольные вехи предлагается установить.

Эффекты от планирования – сочетание ресурсов и достаточности

Для ИТ-подразделений стала актуальной задача поиска, анализа и формирования необходимых решений на отечественной основе. Под это целесообразно сформировать штатную организационную структуру для изучения, поиска, анализа и взаимодействия с отечественными производителями.

Так, в рамках решения задач ИТ-проектов мы можем сформировать следующую схему:

• на стороне заказчика происходит постановка задачи, проводится анализ и с помощью центров компетенций выбираются необходимые решения;
• центр компетенций (в случае формирования) взаимодействует с разработчиками при необходимости совершенствования продуктов и решений в интересах заказчиков;
• разработка и внедрение организуется заказчиком;
• техническая поддержка реализуется на стороне заказчика за счет формирования внутренней компетенции.

На этапе подготовки особое внимание необходимо уделить ресурсным возможностям, выделив четыре составляющие:

1. потенциал компетенций персонала;
2. наличие решений, которые могут быть применены или адаптированы в установленные сроки;
3. наличие организационной структуры, которая будет решать задачи импортозамещения, и взаимодействие этой структуры с различными центрами компетенций и отечественными разработчиками;
4. достаточность финансовых ресурсов для реализации задач.

Отдельно остановимся на потенциале компетенций персонала. Не секрет, что в ИТ и ИБ на уровне программистов, администраторов и специалистов техподдержки существует привязка их компетенции к конкретным продуктам и решениям. Полизадачность в этом круге скорее крайне редкое исключение. Обусловлено это и тем, что нельзя объять необъятное, и сложностью современных решений, требующих серьезного погружения в них, и спецификой, присущей крупным разработчикам, создающим сложные и многофакторные процедуры программирования и администрирования.

При реализации отечественных решений следует учесть, что определенную часть персонала придется существенно переучивать. Это требует формирования соответствующей учебно-методической базы и системного подхода к формированию необходимых компетенций, в том числе и отдельного планирования этого процесса. Одновременно необходимо планировать получение от разработчиков и/или интеграторов подробных технических описаний внедряемых решений.

Риски импортозамещения и их учет при планировании

Импортозамещение – это не только технический, но и в какой-то степени психологический вопрос. Для решения задачи импортозамещения в заданные сроки и достижения должной эффективности надо суметь отойти от психологии классических ИТ и ИБ, пересмотреть собственное отношение к этапности работ и быть готовым к нестандартным решениям.

Рис. 2. Основные риски внедрения ИТ-решений в ходе импортозамещения

Процесс импортозамещения не лишен рисков, которые необходимо учесть как при планировании, так и в ходе реализации мероприятий.

В качестве основных рисков следует выделить (рис. 2):

1. Возможное снижение уровня информационной безопасности при реализации решений из-за недостаточной проработанности мер защиты.
   При реализации мероприятий в рамках импортозамещения необходимо в обязательном порядке проводить анализ и оценку угроз функционированию систем. Особое внимание следует уделить пользовательскому и админскому интерфейсу. Увлечение удаленным и веб-доступом для критичных систем формирует риск.
   DDoS-атака на систему, не опубликованную в Интернете, невозможна.
2. Ограничение реального импортозамещения в части ИТ-инфраструктуры. Инфраструктура – один из самых сложных аспектов импортозамещения.
   Это обусловлено следующими причинами:
   - отсутствует достаточно полная отечественная линейка оборудования; 
   - нет достаточно отработанного перечня отечественного инфраструктурного ПО; 
   - отечественная линейка периферии явно недостаточна.
   Из всего перечня инфраструктурных решений целесообразно выделить возможные на первом этапе, с учетом функциональности ПО и железа.
   Ограничителем является ПО, поскольку вначале придется отработать возможность установки отечественного ПО на импортное железо. При этом особого внимания требуют два аспекта – функциональность и безопасность.
3. Отсутствие реальной технологической основы для импортозамещения больших вычислительных мощностей. Риск связан с тем, что на рынке представлен большой перечень услуг внешних поставщиков (ЦОД, публичные облака и т.д.) и существует настоятельная необходимость определить требования к импортозамещению и в этой сфере.
4. Возможное (а в нынешних условиях – реальное) увеличение финансовых затрат на внедрение отечественных решений. В первую очередь это вызвано тем, что финансирование уже было заложено на действующие на импортном ПО и железе системы и затраты на импортозамещение являются затратами сверх ранее установленных бюджетов.
5. Отработка совместимости внедряемого отечественного ПО с существующей инфраструктурой может потребовать формирования дополнительных стендов, тестовых зон и т.д.
   Эти риски необходимо учесть и минимизировать при планировании и реализации мероприятий импортозамещения.

Подведем итог: без импортозамещения невозможно реализовать технологическую независимость страны в сфере ИТ и ИБ. Но планирование мероприятий должно проводиться с обязательным учетом сложившихся особенностей российского ИТ-рынка.

Опубликовано в журнале "Системы безопасности" № 6/2022

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Фото: it2b.ru