Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Можно ли защитить ИТ-инфраструктуру российского госоргана отечественными решениями по ИБ?

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
Вчера в Facebook зашла речь, в очередной раз, об импортозамещении в ИБ, которое, как прозвучало на одной из конференций в Питере, должно состояться вот уже через 2-3 года. Тут надо бы ответственно заявить, что говоря об импортозамещении, большинство экспертов делает классическую ошибку, считая, что выпуск отечественного аналога зарубежного продукта, - это и есть импортозамещение. Но увы... Даже если отбросить в сторону тот факт, что для нормального развития того или иного сегмента нужно более одного вендора и продукта, то выпуск (и снова отбросим в сторону, на этот раз, вопрос качества и функциональности отечественного продукта) российского решения еще не означает, что его выбрали заказчики. Вот когда российские компании, хотя бы госорганы и госкорпорации, перейдут на все эти домотканные МСЭ, СОВ/СОА, UEBA, SIEM и др., тогда и можно будет говорить об импортозамещении.

Но вернемся к версии апологетов импортозамещения, которые говорят, что в России есть хотя бы по одному, но аналогу, западным и восточным (мы же понимаем, что китайское - это тоже импорт) продуктам и поэтому можно говорить о том, что реально отечественный рынок готов заместить все иностранное. Ну давайте смотреть. Если ограничиться не всем российским рынков, а только госорганами, то я позволил себе выбрать несколько кейсов, для которых сегодня нет сертифицированных российских продуктов по защите информации (по аналогии с заметкой восьмилетней давности про СКЗИ):
  • Работа на Macbook'ах
  • Разграничение доступа в iSCSI и FC сетях
  • Защита SAN
  • Высокоскоростные магистрали и резервные каналы связи (40 Гбит/сек и выше)
  • Виртуальные среды на базе KVM
  • Доверенная загрузка на ноутбуках (тут возможно и есть что-то, но я с ходу не вспомнил)
  • Регламентация и контроль беспроводного доступа
  • Средства контроля целостности ПО (как минимум на Windows 10, где пока не работает ФИКС)
  • Обманные системы (вроде как решение Кода безопасности больше не существует).
Это я привел неполный перечень тех иностранных решений, которые достаточно активно используются в российских организациях, и при этом не имеют отечественных средств защиты, имеющих сертификат ФСТЭК. А если в качестве основы взять организацию, которая прислушалась к мнению чиновников и действительно перешла на отечественные информационные технологии или open source:

  • средства унифицированных коммуникаций iMind, Vinteo, TrueConf и др.
  • open source платформы Hadoop, Spark, Elastic, Pentaho, MongoDB и др.
  • параллельные СУБД InfiniDB, InfoBright и др.
  • семейство Apache - Tomcat, Cassandra, Struts, Metron, HTTP Server и др.
  • сервера приложений - WildFly, GlassFish и др.
  • web-сервера - nginx и др.
  • промышленные решения - Tibbo и др.
  • электронный документооборот - Alfresco, Directum и др.

Вот я с ходу не вспомнил российских разработчиков, которые бы декларировали средства защиты для упомянутых решений, преимущественно защищая решения иностранные - Windows, Oracle, IBM и т.п. А уж сертифицированных решений для названных решений и вовсе нет.

Есть две стратегии - разработать решения по ИБ для того, что используется сейчас заказчиками, или заставить перейти на то, что смогли разработать российские вендоры (но в области ИБ, так как ИТ-вендоры не сильно заботятся о соответствии требованиям ФСТЭК). Первая стратегия правильнее, но более ресурсоемка как по деньгам, там и по времени. Вторая гораздо проще в реализации и именно ее сегодня реализуют, заставляя российские госорганы переходить на отечественные мобильные и настольные ОС (и это не iOS, Android или Windows), перелицованные open source ИБ-решения и т.п. И если госорганам деваться особо некуда - за пределы 17-го приказа, требующего сертификат ФСТЭК, особо не выйдешь, то у коммерческих структур выбора побольше и стоит 10 раз подумать, надо ли загонять себя в прокрустово ложе требования по сертификации, которое выполнить нельзя.

А как же быть, если нормативные акты требуют сертификации? Так не требуют. Нужна оценка соответствия, а это не только обязательная сертификация ФСТЭК. Вот о том, что это такое и почему в обозримом будущем в России будет все сложнее найти адекватное число сертифицированных средств защиты, мы и будем говорить в рамках вебинара, который пройдет 26 сентября в 11 по московскому времени. Все детали и ссылка на регистрацию тут.
Оцените материал:
Total votes: 53
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.