Tags: информационная безопасность

map, it-region, карта

Российские госорганы могут остаться без иностранных ИБ-решений

Недавно подписанный президентом США закон дает Министерству обороны право отказаться от использования программного обеспечения, исходный код которого подвергся анализу иностранными организациями.

Американский закон повлияет на сертификацию ФСТЭК
В результате вступления в действие подписанного 13 августа 2018 г. Президентом США Дональдом Трампом (Donald Trump) закона H.R.5515, иностранные поставщики решений в сфере информационной безопасности (ИБ) могут отказаться от прохождения сертификации в Федеральной службе по техническому и экспортному контролю (ФСТЭК). К такому выводу, проанализировав текст закона, пришел Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems.

В соответствии с новым законом Министерству обороны США разрешается отказываться от использования ИТ-решений или технологий информационной безопасности, если выявлен факт проведения анализа исходного кода этих решений иностранными государственными структурами и иными организации. Любопытным является тот факт, что закон, похоже, обладает обратной силой, поскольку распространяется в том и на продукты, в отношении исходного кода которых была осуществлена проверка в последние пять лет до принятия соответствующего закона.

Действие закона распространяется на структуры государств, которые, по мнению американских властей, являются угрозой безопасности для критической инфраструктуры государственных институтов США или их союзников, оказывают влияние на цепочки поставок, созданные в интересах США или замечены в хищении американской интеллектуальной собственности.

Учитывая ажиотаж в американском обществе, вызванный якобы имевшем место вмешательством «русских хакеров» в ход выборов президента США 2016 г., можно с определенной долей уверенности сказать, что Россия наверняка окажется в списке стран, организации и государственные структуры которых попадут под действие нового закона.

Что грозит поставщикам
По мнению Алексея Лукацкого, поставщикам Министерства обороны США, среди которых, например, числятся Cisco, Check Point, Forcepoint, IBM, Microsoft, SAP, при самом оптимистичном исходе грозит значительное усложнение процедуры продажи своих решений.

В худшем же случае американское оборонное ведомство может полностью отказаться от приобретения продуктов таких компаний, что сулит последним многомилионные убытки.

Как отметил специалист, доля России в бизнесе иностранных ИБ-компаний мизерна, поэтому шансы того, что поставщики ИБ-решений откажутся от привлекательных контрактов с МО США в пользу прохождения сертификации ФСТЭК, невелики.

Последствия для российских заказчиков
Напомним, что российские организации, допущенные к работе с государственной тайной, в соответствии с требованиями ФСТЭК обязаны осуществлять сертификацию используемых средств защиты информации. То же самое касается средств защиты Государственных информационных систем (ГИС). В процессе проведения испытаний исходный код программного обеспечения анализируется на предмет не задокументированных возможностей («бэкдоров», «закладок»).

По мнению эксперта, труднее всего в новых реалиях придется именно этой категории заказчиков, поскольку они и до вступления обсуждаемого закона в силу были неспособны в полной мере выполнить требования регулятора, а теперь цель становится практически недостижимой.

«Теперь у них окно возможностей сократится еще больше, и это при полной нерасторопности отечественных игроков, которые не торопятся выпускать продукты на замену иностранным решениям», – отметил специалист.

Лукацкий прогнозирует дальнейшее снижение количества сертифицированных ФСТЭК зарубежных ИБ-решений, первоначально вызванное ужесточением требований ведомства.

Подробнее: http://safe.cnews.ru/news/top/2018-08-24_rossijskie_gosorgany_mogut_ostatsya_bez_inostrannyh
map, it-region, карта

Со всех государственных сайтов США требуют удалить Flash

По словам сенатора Рона Уайдена, он не хочет повторения «ситуации с Windows XP», поэтому призывает удалить весь Flash с сайтов госорганов за год до окончания официальной поддержки этой технологии.

Долой Flash
Сенатор от штата Орегон Рон Уайден (Ron Wyden) выпустил открытое письмо, в котором призвал государственные учреждения США скорейшим образом отказаться от использования Adobe Flash на их сайтах.

Компания Adobe объявила, что свернет техническую поддержку Flash к концу 2020 г. Уайден призвал устранить все Flash-элементы на государственных сайтах к 1 августа 2019 г., чтобы избежать повторения ситуации с Windows XP.

Напомним, Microsoft официально прекратила поддержку своей операционной системы 2001 г. в 2014 г. после долгих проволочек. Windows XP оказалась настолько популярна и настолько глубоко интегрированна в крупных корпорациях и правительственных сайтах США, что некоторые из них до сих пор продолжают использовать ее, выплачивая Microsoft крупные суммы за сохранение технической поддержки.

«Федеральному правительству слишком часто не удавалось в надлежащий срок избавиться от устаревшего программного обеспечения», - указывает Уайден в своем письме, отмечая заодно, что у Flash имеются «серьезные, в основном не поддающиеся исправлениям проблемы с кибербезопасностью». По мнению сенатора, именно эти проблемы являются причиной, по которой правительственные учреждения должны полностью отказаться от Flash еще до официального окончания его поддержки разработчиком.

Устаревшая и небезопасная технология
Уайден предлагает запустить пилотную программу, в рамках которой до 1 марта 2019 г. произошла бы частичная замена решений на базе Flash на более безопасные аналоги, а к 1 августа 2019 г. он был бы удален со всех правительственных компьютеров.

Письмо сенатора было направлено руководителям Национального института стандартов и технологий США, Агентства национальной безопасности и Министерству внутренней безопасности США.

«Мнение сенатора относительно Flash обосновано: эта технология действительно устарела, а ее уровень защищенности оказался недостаточно высоким, - в течение нескольких лет Flash являлся одним из главных источников киберугроз, - полагает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - На сегодняшний день Flash - уходящая натура. Однако госорганы во всем мире обычно не торопятся производить замену оборудования или ПО, поэтому вероятность их полного отказа от Flash даже к 2020 году, к сожалению, невелика».

По данным W3Techs, сегодня менее чем 5% от общего числа веб-сайтов в мире - будь то глобально популярные ресурсы или заброшенные частные страницы - все еще используют Flash в том или ином виде. К 2020 г. процент пользователей этой технологии, скорее всего, снизится до значений статистической погрешности.

Подробнее: http://safe.cnews.ru/news/top/2018-07-27_flash_trebuyut_udalit_so_vseh_gosudarstvennyh
map, it-region, карта

Информационная безопасность в России и на Западе: сравнение в связи с цифровой экономикой

Отечественные и западные специалисты по информационной безопасности (ИБ) находятся в едином (пока что) интернет-пространстве, решают одни и те же проблемы одинаковыми способами. Но есть и существенные различия, которые надо учитывать при реализации провозглашённых планов всеобщей цифровизации нашего народного хозяйства.

На Западе считается, что в России если не помешаны на безопасности, то близко к тому. Это совсем не так. Если говорить о госсекторе, то там, как и 20 лет назад, всё так же мало профессионалов, и большинство из них сосредоточены вокруг ВПК. Там ушлых сотрудников, пытающихся майнить криптовалюту на мейнфрейме ядерного центра, хотя бы ловят, в других же местах большинство мероприятий по защите информации остаются на бумаге, а чиновники и госслужащие продолжают активно пользоваться запрещённым Telegram и пересылать документы через Gmail.

В коммерческом секторе с информационной безопасностью тоже не идеально. За последние 5-7 лет крупным предприятиям удалось приучить сотрудников к информационной гигиене, большинство из них перестали хотя бы открывать письма с загрузчиками троянцев и фишинговыми ссылками. Благодаря этому хакеры даже переориентировались с корпоративных пользователей на частных лиц и массово атакуют клиентские приложения для управления личными банковскими счетами.

ИБ на продажу

Безопасность – категория не экономическая. Её нельзя конвертировать в валюту. Она достигается воспитанием и обучением людей, надёжностью инженерных решений, разработкой регламентов и скрупулёзным их соблюдением. Но при анализе состояния ИБ в стране о деньгах вспомнить придётся.

Один из важных критериев оценки внутрикорпоративных ИБ-рисков – уровень заработной платы в сочетании с возможностью для сотрудника компании получить несанкционированный доступ к данным. В России имеем характерную для развивающихся стран проблему: работники низшего звена с минимальной зарплатой имеют широкий доступ к корпоративным ресурсам, что и используют для различных махинаций. Наиболее распространенные примеры – сотрудники поддержки операторов сотовой связи, продающие данные о клиентах и их звонках, а также производящие незаконную выдачу дубликатов SIM-карт для взлома систем двухфакторной авторизации.

Менее известное, но не менее проблемное направление – сотрудники банков, похищающие средства с «забытых» счетов клиентов, например, умерших пенсионеров. В маленьких компаниях копирование клиентской базы или конфиденциальных документов при увольнении носит вообще повсеместный характер и не считается самими сотрудниками чем-то противоправным. Во многом причиной тому мягкость российского правосудия, в отличие от западного, назначающего за хищение корпоративных данных незначительные сроки (2-3 года лишения свободы). Например, сотрудники саранских контакт-центров «Вымпелкома» и Tele2, не так давно организовавшие торговлю личными данными абонентов, получили всего по полтора года условно, при этом гражданский иск о возмещении ущерба им не предъявили.

Большинство российских компаний в надежде на авось стараются не замечать проблем с информационной безопасностью до тех пор, пока они не понесут крупный – и прямой – ущерб. Никому, кроме финансовых и e-commerce компаний, хранящих данные о платёжных инструментах, при хищении данных прямой ущерб не нанесёшь, банки и онлайн-магазины об ИБ поневоле хотя бы иногда думают. Все остальные защитой информации всерьёз не занимаются вообще. Тем более, что инвестиции в усиление ИБ биллинговых и CRM-систем, откуда часто идут утечки, требуются значительные.

На Западе же при схожем в целом законодательстве правоприменительная практика устроена таким образом, что даже если прямого ущерба в результате хищения данных не было, любая утечка может послужить основанием для большого количества исков от клиентов, чьи данные были похищены. Размер исков практически не ограничен. С мая 2018 года к этому добавляются драконовские санкции нового европейского закона о персональных данных (GDPR). Именно по этой причине компании вынуждены усиливать меры информационной безопасности, хотя, дай им волю, предпочли бы этого не делать.

Рынок

Российский рынок информационной безопасности также значительно отличается от западного. Он моложе, конкуренция на нем намного слабее, но и спрос ниже. Кроме того, подход к выбору продукта и покупке на Западе очень отличается от нашего скрупулёзностью технического тестирования всех ИБ-решений.

На американском рынке всего больше – бюджетов, игроков и предлагаемых ими продуктов. Но при этом больше и объём угроз, в силу значительно более глубокой компьютеризации всей экономики и особенно потребительского сектора, который, к тому же, почти столетие активно работает с персональными данными (благодаря американской любви к персональному маркетингу).

В России похожая ситуация существовала до 2008 года. Рынок, хоть и был молод, рос темпами в 35-40% в год, на него выходили как западные, так и локальные игроки. Однако два кризиса подряд подкосили инвестиции в такой сложный предмет, как ИБ – бюджеты заказчиков значительно сократились, и темпы роста снизились до 5-10% в год. С 2015 года ухудшение международных отношений и политика импортозамещения значительно потеснили с нашего рынка западные продукты, а многие российские производители решений для информационной безопасности, в свою очередь, потеряли западный рынок.

Усиление регулирования российского ИБ-рынка и рост доли государственных закупок на нём (в 2017 году она составила примерно 35%), как обычно, не принесли счастья всем его участникам, зато некоторых сделали почти монополистами. А это уже в среднесрочной перспективе приводит к тому, что количество игроков на российском рынке уменьшается при том, что ситуация в области ИБ последовательно ухудшается, и что России объективно требуется всё больше усилий для сохранения ИБ-суверенитета.

По данным Генпрокуратуры, количество только официально зарегистрированных киберпреступлений в стране с 2013 года выросло в шесть раз. Кибератаки стали одним из важнейших инструментов новой холодной войны и используются не только главными её участниками, Китаем и США, но даже такими странами, как Северная Корея, «боевые хакеры» которой, по правдоподобным данным Recorded Future и АНБ, распространяют зловреды-вымогатели для пополнения тощего государственного бюджета. Для России проблема состоит ещё и в том, что до сих пор граждане и даже государственные структуры активно использовали зарубежные сервисы и оставили там большой объём т.н. следовых данных, упрощающих взлом новых суверенных информационных систем (простейший пример – «любимые» пароли; что толку менять средства защиты данных, если для доступа к ним пользователь использует привычный ему пароль).

Сегодня говорят о том, что нам снова необходимо догнать Запад, теперь в области цифровой экономики. Однако сейчас мы защищены ещё и благодаря тому, что многие критичные части инфраструктуры далеки от цифровизации. Развивая же цифровую экономику, но не заботясь о её защите, мы можем однажды потерять куда больше, чем приобретём.

Об авторе: Ашот Оганесян — основатель и технический директор DeviceLock DLP.

Подробнее: http://d-russia.ru/informatsionnaya-bezopasnost-v-rossii-i-na-zapade-sravnenie-v-svyazi-s-tsifrovoj-ekonomikoj.html
map, it-region, карта

IT в стратегии социально-экономического развития Ростовской области до 2030 года – итоги обсуждения

В Южном IT-парке на прошлой неделе прошло заседание, посвящённое развитию информационно-коммуникационных технологий и инфраструктуры, а также системе местного самоуправления в рамках Стратегии социально-экономического развития Ростовской области на период до 2030 года (http://d-russia.ru/wp-content/uploads/2018/07/strateg2030_05jul2018.pdf).

В заседании, которое провел заместитель губернатора Ростовской области Василий Рудой, приняли участие представители науки, общественных организаций, бизнес-сообщества в ИКТ-сектора.

К основным стимулам развития информационно-коммуникационных технологий в Ростовской области участники отнесли электронное правительство, облачные вычисления, сети связи, ИКТ в экономике, Интернет вещей, информационную безопасность.

ИКТ и инфраструктура

Согласно стратегии, целями в сфере ИКТ и инфраструктуры являются:

а) рост доли домохозяйств, имеющих возможность подключения услуг доступа к Интернету со скоростью 100 Мбит/с с использованием проводных каналов связи или со скоростью 10 Мбит/с с использованием сетей подвижной радиотелефонной (сотовой) связи с 69% в 2017 году до 97,0% в 2030;

б) увеличение объёма отгруженной продукции предприятиями в сфере информационно-коммуникационных технологий с 6,1 миллиарда рублей в 2017 до 12 миллиардов в 2030.

Эти цели в документе названы динамическими. Кроме них есть также цели структурные:

1. Рост средней интернет-скорости до 60 Мбит/с к 2030 году (в 2017 г. в РФ – 12,2 Мбит/с).

2. Увеличение количества субъектов малого и среднего предпринимательства в сфере информационных технологий: 2016 год – 749 единиц; 2024 год – 865 единиц (рост на 15%); 2030 год – 973 единицы (рост на 29%).

Среди приоритетных задач и мероприятий указано повышение инвестиционной привлекательности прокладки новых сетей связи в малочисленных населённых пунктах; повышение доступности действующих инженерных коммуникаций (опор линий электропередачи, уличного освещения, городского электротранспорта) для воздушных волоконно-оптических линий связи; стимулирование подключения услуг доступа к Интернету в сельских населенных пунктах; развитие IT-парков; поддержка регионального ИКТ-сообщества.

В документе рассматриваются возможности для Ростовской области:

стать лидером в России по уровню развития среды для цифровой экономики;
стать одним из флагманов в ИКТ-индустрии среди субъектов РФ.

Вот что должно помочь в достижении этих целей:

создание устойчивой и безопасной информационно-телекоммуникационной инфраструктуры высокоскоростной передачи, обработки и хранения больших объемов данных, доступной для всех организаций и домохозяйств;
обеспечение к 2025 году во всех населённых пунктах с числом жителей от 1 тысячи человек 100% проникновения широкополосного доступа в Интернет;
реализация инвестиционных проектов по строительству около 4,7 тысячи км волоконно-оптических линий связи к 2030 году;
увеличение внутренних затрат на развитие цифровой экономики за счет всех источников (по доле в валовом региональном продукте) по сравнению с 2017 годом;
участие региональных субъектов в создании отечественных сквозных цифровых технологий и их внедрение;
успешное функционирование региональных цифровых платформ в общественно значимых сферах (в том числе для цифрового здравоохранения, цифрового образования и «умного города»);
успешное функционирование не менее 50 малых и средних предприятий в сфере создания цифровых технологий и платформ и оказания цифровых услуг;
обеспечение устойчивого покрытия 5G и выше к 2024 году в городах с численностью населения более 1 миллиона человек (в настоящее время по официальным данным в области только один город-миллионник – ред.);
обеспечение 100% потребности в высококвалифицированных кадрах для цифровой экономики региона посредством увеличения числа выпускников IT-специальностей;
улучшение позиций Ростовской области в мониторингах развития информационного общества в субъектах Российской Федерации (2017 год – 15 место);
увеличение объема услуг связи по всем видам деятельности: на 50% к 2024 году и на 120% к 2030 году;
стимулирование участия ИКТ-субъектов Ростовской области в отечественных разработках по созданию глобальной конкурентоспособной инфраструктуры передачи, обработки и хранения данных;
привлечение федеральных институтов венчурного финансирования и иных институтов развития к региональным проектам по внедрению цифровых технологий;
реализация комплексного регионального проекта «Умный город», включающего IT- решения в различных сферах;
охват Ростовской области проектом «Умный город»: 2024 год – не менее 35% населения региона (города с численностью населения более 200 тысяч человек и их пригородные территории); 2030 год – не менее 70% населения, включая все 18 городов Ростовской области;
преобразование приоритетных отраслей региональной экономики и социальной сферы, включая здравоохранение, образование, промышленность, сельское хозяйство, строительство, городское хозяйство, транспортную и энергетическую инфраструктуру, финансовые услуги, посредством внедрения цифровых технологий и платформенных решений;
обеспечение информационной безопасности на основе отечественных разработок при передаче, обработке и хранении данных, гарантирующей защиту интересов личности, бизнеса и государства, – в частности создание территориального центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА): внедрение регионального центра сетевых атак Ростовской области до 2024 года;
развитие электронного правительства как цифровой платформы, включающей предоставление государственных (муниципальных) услуг (исполнение функций) в электронном виде: 2030 год – 2 миллиона заказанных услуг;
формирование регионального центра обработки данных (ЦОД), который должен являться технологической площадкой регионального IT-кластера и предоставлять свои ресурсы и мощности для участников IT-кластера и IT-парка (предусматривается развитие ЦОД как основы для создания единого информационного пространства в Ростовской области для информационных ресурсов Правительства Ростовской области, а также внедрение технологии виртуализации и «облачных технологий»);
вхождение Ростовской области в ТОП-20 регионов России к 2024 году и в ТОП-15 к 2030 году по стоимостному объему ИКТ-услуг.

«Цифровые задачи» в различных сферах

Практически в каждом разделе Стратегии имеются целевые показатели, связанные с ИКТ и «цифрой». Так, среди задач по развитию экспорта указано включение поставщиков ИКТ-услуг в перечень областной поддержки экспортёров по направлениям субсидирования части затрат, связанных с сертификацией продукции и систем менеджмента качества, а также субсидирования части затрат, связанных с участием в выставочных мероприятиях за рубежом.

Предусмотрено создание единой информационной системы по вопросам ведения предпринимательской деятельности и поддержки бизнеса; содействие увеличению числа пользователей регионального портала закупок малого объёма из числа субъектов малого и среднего предпринимательства; развитие интернет-площадок корпоративных закупок и продаж онлайн; создание социальной сети предпринимателей региона, с возможностью размещения информации о предприятии и производимой продукции, а также синхронизации аккаунтов с личным кабинетом налогоплательщика и порталом государственных услуг.

Дополнительно говорится о формировании логистической инфраструктуры для торговли через Интернет, включая широкую территориальную сеть пунктов выдачи товаров.

В сфере образования намечено создание центра компетенций Национальной технологической инициативы на базе ростовских университетов и научных организаций для создания инновационных решений в области сквозных технологий (big data, искусственный интеллект, квантовые технологии, технологии сенсорики и робототехники, новые и портативные источники энергии и др.). Также должен быть создан детский технопарк «Кванториум» на 800 «высокооснащённых» мест. Запланировано создание информационного ресурса, позволяющего семьям выбирать индивидуальные дополнительные общеобразовательные программы.

В области культуры предполагается использование современных методов коммуникации для распространения информации о существующих возможностях проведения культурного досуга: функционирование сайтов учреждений культуры, содержащих актуальную информацию о планируемых культурных событиях, расписание работы учреждений культуры и искусства и т.д.; ведение информационных страниц (группа, сообщество и т.п.) в популярных социальных сетях — «ВКонтакте», YouTube, Instagram; использование инструментов интернет-маркетинга: SEO, SMO, SMM и др.

В самих учреждениях культуры ожидается внедрение и распространение новых информационных продуктов и технологий — электронных музейных библиотек, электронного научно-справочного аппарата архивных фондов, интерактивных тематических экспозиций, виртуальных тематических коллекций, компьютерных инсталляций, виртуального концертного зала и т.д.

Также работа в соцсетях предусмотрена для вовлечения молодёжи в различные формы социальной и экономической активности; дополнительно должны разрабатываться тематические мобильные приложения и привлекаться «агенты влияния» — популярные блогеры.

Отдельная стратегическая инициатива касается «умного» ЖКХ. В неё входит цифровизация и внедрение технологических решений в рамках концепции «Умные сети»; создание регионального банка «умных» решений в сфере ЖКХ; увеличение доли онлайн-платежей за жилищно-коммунальные услуги.

Что касается безопасности, то запланирован охват аппаратно-программным комплексом «Безопасный город» всех 55 муниципалитетов региона до 2020 года. Также предусмотрено:

создание непрерывной зоны контроля и видеодокументирования на объектах общественной и стратегической значимости, в том числе видеопатрулирование участков железных дорог, трубопроводов и водных акваторий;
широкомасштабное применение беспилотных летательных аппаратов, в том числе в целях высотного наблюдения при проведении культурно-массовых, общественно-политических и спортивных мероприятий, выявления преступлений и административных правонарушений, обеспечения связи и управления наземными нарядами полиции;
внедрение системы прогнозирования правонарушений в общественных местах на основе технологий Big Data, а также внедрение систем идентификации конкретного человека в большом объёме голосового трафика («верификация по голосу») или на камерах видеонаблюдения («распознавание лица»);
создание и внедрение системы предугадывания пожаров на основе технологий Big Data, которые позволят анализировать свежие и исторические данные относительно частоты возгораний в каждом из сегментированных на квадраты участков территории, а также внедрение многокритериального статистического анализа риска возникновения пожаров (степень защищенности зданий от огня, наличие неблагополучных семей, демографические и геологические данные) и т.д.

В документе описаны приоритетные задачи государственного и муниципального управления. Так, говорится о разработке мобильных приложений и интернет-портала для непрерывного профессионального развития гражданских и муниципальных служащих.

Для повышения уровня развития информационного, технологического и аналитического обеспечения государственного управления намечено:

приобретение современных информационно-аналитических программ;
унификация информационных систем и ресурсов во всех структурных подразделениях органов власти;
устранение разрыва в техническом обеспечении управленческого процесса между муниципальными образованиями региона (устранение цифрового неравенства в сельских и удаленных территориях);
привлечение квалифицированных IT-специалистов в органы власти.

В целях повышения доступности программам по обучению проектному управлению для государственных гражданских служащих запланировано создание регионального портала по проектному управлению для размещения образовательных онлайн-программ, методик, законов, стандартов, анонсов мероприятий и конференций, ведения общей библиотеки успешных решений («кейсов») и т.д.

В документе упоминается повышение эффективности региональной системы межведомственного электронного взаимодействия и создание клиентоориентированной модели работы МФЦ.

Региональная государственная цифровая платформа

В документе описана стратегическая проектная инициатива «Региональная государственная цифровая платформа», которая должна дать области возможность стать одним из лидеров в России по уровню цифровизации государственного управления.

Основные параметры:

отказ от бумажного документооборота и перевод процессов в цифровую форму после их качественного реинжиниринга;
внедрение автоматизированных технологий принятия решений и максимальное устранение человеческого фактора (ошибок, коррупции);
создание цифровой экосистемы, в которой граждане и бизнес взаимодействуют с государством «в режиме мультиканальности с использованием различных мобильных устройств»;
установление обязательной практики непрерывного совершенствования процессов на основании системы обратной связи от пользователей для контроля уровня удовлетворённости решением их задач.

Предполагается обеспечить высокую скорость внесения изменений в процессы управления, перейти «от документов – к данным». Для этого предстоит обеспечить сбор, хранение, обработку и упорядочивание всех необходимых данных, разграничить доступ к данным (включая отнесение их к различным степеням секретности) по определённым правила и обеспечить защиту, хранение и архивирование данных, ответственности за их правильность данных. Будет установлен приоритет доверенных данных над бумажными документами, осуществлён полный отказ от бумажного документооборота и перевод процессов в цифровую форму после их качественного реинжиниринга. Государственные информационные системы перейдут на платформу, «позволяющую обеспечить «бесшовность» при использовании любых хранимых данных и функционала на основе единых нормативных правил». Доверие к системе государственного управления призвана повысить прозрачность принимаемых властью решений и «максимальное устранение человеческого фактора».

Среди прочего планируется также оптимизировать затраты на госаппарат за счёт устранения ненужных процессов, функций.

Подробнее: http://d-russia.ru/it-v-strategii-sotsialno-ekonomicheskogo-razvitiya-rostovskoj-oblasti-do-2030-goda-itogi-obsuzhdeniya.html
map, it-region, карта

Регионы могут получить субсидии на цифровизацию контрольной и надзорной деятельности

Министерство цифрового развития, связи и массовых коммуникаций рассматривает возможность выделения субсидий на цифровизацию контрольной и надзорной деятельности (КНД), сообщили D-Russia.ru представители нескольких регионов.

На минувшей неделе министерство проводило среди регионов опрос с целью выяснить потребности субъектов РФ в финансировании на внедрение информационных систем для автоматизации КНД. Как сказано в сопровождающей анкету записке министерства, решение о направлении субсидий на эти мероприятия будет приниматься на основании анализа собранной информации.

В анкете предлагается описать содержание и стоимость мероприятий, запланированных на 2019-2021 годы, по следующим направлениям:

создание и модернизация информационно-телекоммуникационной инфраструктуры для цифровизации данных КНД (ЦОД, каналы связи);
приобретение или аренда терминальных устройств для сотрудников органов контроля и надзора;
приобретение или модернизация программно-технических средств информационной безопасности;
создание или модернизация инфраструктуры сбора и обработки данных промышленного Интернета вещей;
внедрение сервисов автоматизации процессов деятельности органов контроля и надзора (на базе типового облачного решения (ТОР КНД) или с использованием собственных ведомственных систем).

О необходимости шире применять дистанционные методы контроля говорил в марте президент РФ в послании Федеральному собранию.

В конце сентября 2017 года правительство утвердило план мероприятий («дорожная карта») по созданию, развитию и вводу в эксплуатацию информационной системы «Типовое облачное решение по автоматизации контрольной (надзорной) деятельности» на 2017–2019 годы». За счёт этого правительство предполагает сократить общее количество проверок до 50% и увеличить их скорость, а отдельные категории бизнеса и вовсе освободить от плановых проверок, либо проводить их «путём удалённого представления материалов без посещения проверяемой организации».

Повсеместное внедрение автоматизированной системы КНД намечено на август 2019 года.

В апреле, напомним, правительство утвердило положение о ГИС «Типовое облачное решение по автоматизации контрольно-надзорной деятельности».

По состоянию на декабрь 2017 года к ТОР КНД подключились 69 регионов.

На минувшей неделе на портале общественных обсуждений опубликован проект постановления правительства о требованиях к порядку развития и эксплуатации государственных информационных систем, обеспечивающих выполнение органами власти контрольных (надзорных) функций (стандарт информатизации КНД).

Федеральным органам исполнительной власти, осуществляющим контрольные функции, предписано обеспечить соответствие эксплуатируемых ГИС требованиям стандарта информатизации КНД.

Высшим исполнительным органам государственной власти субъектов Российской Федерации и органам местного самоуправления при развитии и эксплуатации информационных систем, обеспечивающих выполнение контрольных (надзорных) функций, рекомендовано руководствоваться стандартом.

D-Russia.ru опросил региональных IT-руководителей по поводу использования централизованной разработанной ТОР КНД и целесообразности предоставления субсидий.

По мнению большинства опрошенных, субсидии целесообразны и помогают при внедрении IT в различных сферах государственного управления, в том числе при внедрении информационных систем в сфере КНД. Но процедура оформления субсидии и отчётности по ней чрезмерно усложнена, полагают в регионах.

Министр энергетики, промышленности и связи Ставропольского края Виталий Хоценко считает, что поскольку полномочия по надзору, в основном, федеральные, постольку должна быть единая АИС с возможностью подключения субъектов – главным образом, в сфере жилищно-строительного надзора.

Руководитель главного управления информатизации и связи Севастополя Алексей Горобцов говорит, что для его региона это актуально, т.к. субсидии будут направлены не только на ТОР КНД, но и на приобретение серверов для КНД и ноутбуков для инспекторов. «По поводу самого ТОР КНД: мы готовы пользоваться им в полном объеме, если, конечно, оно будет закрывать все виды контролей», — отметил Горобцов. Он полагает также, что из федерального бюджета должны финансироваться перевод госуслуг в электронный вид и межведомственное взаимодействие. Второе направление – системы поддержки принятия решений в сфере государственных услуг.

По мнению министра информатизации и связи Республики Мордовия Олега Соколова, федеральные субсидии нужны, причём не только на автоматизацию и развитие контрольной-надзорной деятельности, но и на такие направления, как создание автоматизированной информационной системы обеспечения градостроительной деятельности, создание ситуационных центров и аналитических систем для стратегического планирования и управления, полный переход органов власти и органов местного самоуправления на отечественное программное обеспечение (в частности, переход с продуктов Microsoft), реализацию концепции «Умных городов».

Директор департамента информационных технологий Ханты-Мансийского автономного округа – Югры Павел Ципорин согласен с тем, что регионам нужны субсидии, и не только на внедрение системы КНД. Вообще, целесообразно при внедрении централизованных федеральных решений субсидировать регионы для типизации этих процессов. Неплохой пример – субсидия 2014-2016 годов на автоматизацию управления транспортом. Итог – созданы типовые решения в субъектах РФ. Правда, «целесообразно было внедрять 2-3 типовых решения, а то сейчас всё-таки присутствует некая разрозненность в этой автоматизации».

Также Ципорин считает важным снижение отчётной нагрузки на субъекты. При получении даже небольшой субсидии для отчётности готовится столько документов, что не все регионы готовы субсидию брать. Нужно по примеру снижения административных барьеров для бизнеса снижать административные барьеры для чиновников. Тогда и эффективность от внедрения будет повышаться.

«Если резюмировать, то необходимо внедрять вертикально-интегрированные информационные системы с субсидированием для регионов и оценкой эффективности их работы в дальнейшем в этих системах. Только так можно пройти цифровую трансформацию в России», — сказал Ципорин.

По мнению заместителя председателя правительства Самарской области – руководителя департамента информационных технологий и связи Станислава Казарина, если в ТОР КНД будет реализована функциональность для всех видов надзора, то регион будет использовать его. Если же только для приоритетных, то более эффективным подходом, на его взгляд, станет создание своей региональной системы и её дальнейшая интеграция с федеральным сегментом. В этом случае субсидия на работу по интеграции будет целесообразна.

В соответствии с внесенным правительством в Думу в конце 2017 года законопроектом «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», в России насчитывается 152 вида федерального контроля (надзора), 44 вида — регионального и 11 — муниципального.

В типовом облачном решении КНД, разработанном Минкомсвязью России, в настоящий момент реализовано семь приоритетных видов регионального надзора:

экологический надзор;
ветеринарный надзор;
жилищный надзор;
лицензионный контроль в отношении юридических лиц и индивидуальных предпринимателей, осуществляющих деятельность по управлению многоквартирными домами на основании лицензии;
лицензионный контроль за розничной продажей алкогольной продукции;
контроль (надзор) в области долевого строительства многоквартирных домов и (или) иных объектов недвижимости;
строительный надзор.

По расчётам министерства, на создание централизованного типового решения ТОР КНД потребуется около 225 миллионов рублей, на внедрение в регионе — 840 тысяч рублей и в дальнейшем 200 тысяч рублей в год на эксплуатацию. На разработку и внедрение своей системы региону необходимо – от 10 до 35 миллионов рублей, плюс эксплуатация — 5-15 миллионов рублей в год. Следовательно, благодаря внедрению ТОР КНД, в масштабах страны за несколько лет можно достичь экономии около 2,5 миллиарда рублей.

Напомним, что регионы РФ ежегодно из федерального бюджета получают субсидии для софинансирования IT-проектов. В 2018 году субсидии должны получить 42 региона (332,2 миллиона рублей), в 2019-м – 18 регионов (325 миллионов рублей). Ранее субсидии предоставлялись для софинансирования IT-проектов, направленных на обеспечение достижений показателя, предусмотренного майским указом президента №601 (доля граждан, использующих механизм получения госуслуг в электронном виде, не ниже 70% к 2018 году).

Эффективность расходования средств в 2017 году определялась по количеству граждан, которые были зарегистрированы в регионе в единой системе идентификации и аутентификации с 1 января по 31 декабря 2017 года.

В 2018 году эффективность будет определяться по количеству граждан в субъекте Российской Федерации, которые зарегистрированы в единой системе идентификации и аутентификации с обязательным предоставлением ключа простой электронной подписи и установлением личности физического лица (с указанием фамилии, имени, отчества, страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учёта Пенсионного фонда Российской Федерации) при личном приеме с 1 января по 31 декабря 2018 года.

Подробнее: http://d-russia.ru/regiony-mogut-poluchit-subsidii-na-tsifrovizatsiyu-kontrolnoj-i-nadzornoj-deyatelnosti.html
map, it-region, карта

Правительство допустило к госзакупкам больше электронных площадок

Правительство утвердило регламент работы электронных площадок для проведения государственных закупок – это связано со вступлением в силу федерального закона от 31 декабря 2017 года №504-ФЗ, который даёт возможность использовать для определения исполнителей госзаказов новые электронные площадки.

Федеральным законом №504-ФЗ меняется форма проведения процедур определения поставщика (подрядчика, исполнителя). В частности, открытый конкурс, конкурс с ограниченным участием, двухэтапный конкурс, запрос предложений и запрос котировок переводятся в электронную форму. Установлено, что начиная с 1 января 2018 года заказчики вправе проводить эти процедуры в электронной форме, а с 1 января 2019 года – будут обязаны проводить такие процедуры исключительно в электронной форме.

Обеспечивать проведение этих процедур будут операторы электронных площадок, что, как поясняется на сайте правительства, должно снизить вероятность сговора заказчиков с участниками закупок и участников закупок между собой, а также упростить сбор документов, необходимых для участия в закупках.

Кроме того, предусмотрено, что при наличии соответствующего решения правительства России могут применяться закрытые электронные процедуры закупок в области обороны и обеспечения безопасности.

Постановлением №656 утверждены:

единые требования к операторам электронных площадок, операторам специализированных электронных площадок, электронным площадкам, специализированным электронным площадкам и функционированию таких площадок;
дополнительные требования к оператору электронной площадки, к оператору специализированной электронной площадки и функционированию таких электронных площадок;
порядок подтверждения соответствия электронных площадок единым и дополнительным требованиям к операторам и функционированию электронных площадок;
порядок утраты юридическим лицом статуса оператора электронной площадки, оператора специализированной электронной площадки.
Кроме того, федеральным законом от 31 декабря 2017 года №505-ФЗ предусмотрено, что конкурентные закупки, участниками которых могут быть только субъекты малого и среднего предпринимательства, проводятся в электронной форме. Установлено, что проведение конкурентной закупки с участием субъектов МСП осуществляется заказчиком на электронной площадке, функционирующей в соответствии с едиными требованиями, предусмотренными Федеральным законом «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд». Правительство России наделено полномочиями устанавливать дополнительные требования к функционированию электронной площадки. Постановлением №657 утверждены такие дополнительные требования.

До сих пор к участию в госзакупках были допущены шесть электронных площадок. Теперь до июля площадки должны подать заявки, а после проверки, уже с октября, они смогут проводить торги по госзакупкам и закупкам малого и среднего бизнеса по новым правилам. Через два года те площадки, которые займут меньше 5% рынка в денежном эквиваленте и по числу процедур, могут потерять право проводить торги, пишут «Ведомости».

Согласно новым требованиям к электронным площадкам для госзакупок, уставный капитал площадки должен быть не меньше 20 миллионов рублей, требования к информационной безопасности и защите персональных данных – повышенными, также до 1 октября площадки должны подписать соглашение с Минфином и ФАС, внеся обеспечение по нему в размере 50 миллионов рублей (до сих пор требовалось 7 миллионов рублей).

Подробнее: http://d-russia.ru/pravitelstvo-dopustilo-k-goszakupkam-bolshe-elektronnyh-ploshhadok.html
map, it-region, карта

В России централизовали закупки софта для госорганов

В России централизовали закупки софта для госорганов. За бухгалтерское ПО будет отвечать Казначейство, за офисное Минкомсвязи.

Правительство выпустило постановление, по которому офисный и защитный софт для госорганов централизованно будет закупать Минкомсвязи, а софт для ведения бюджетного учета — Казначейство. На отечественное ПО госорганы должны перейти до 2020 г.

Постановление правительства
Закупки офисного ПО, ПО для ведения бюджетного учета и ПО в сфере информационной безопасности для федеральных госорганов будут производиться централизованно. Соответствующее постановление правительства №658, принятое 8 июня, размещено на портале официального опубликования правовых актов.

Согласно постановлению, за централизованную закупку офисного ПО и защитного ПО будет отвечать Министерство цифрового развития, связи и массовых коммуникаций. Закупкой ПО для ведения бюджетного учета займется Казначейство, это ПО будет закупаться не только для федеральных госорганов, но и для подведомственных им учреждений.

Какое ПО будет закупать Минкомсвязи
В состав офисного ПО, которое будет закупать Минкомсвязи, входит офисный пакет, почтовые приложения, органайзер, средства просмотра, интернет-браузер и редакторы текста, презентаций и таблиц. Весь закупленный офисный софт должен быть включен в реестр отечественного ПО, а также соответствовать требованиям к ПО, которые правительство утвердило постановлением от 23 марта 2017 года № 325. В числе требований — способность программы работать без подключения к локальной сети, совместимость не менее чем с тремя браузерами, в том числе с одним отечественным, совместимость как минимум с двумя ОС из реестра отечественного ПО, и т. д.

Программные продукты для киберзащиты, закупаемые Минкомсвязи, должны соответствовать российскому законодательству в сфере обеспечения информационной безопасности и также находиться в реестре российского ПО. До 2020 г. информационные системы госорганов должны быть приведены в состояние совместимости с офисным и защитным ПО как минимум двух разработчиков.

Закупки ПО для бюджетного учета
Закупаемое ПО для ведения бюджетного учета должно обеспечивать автоматизацию функций, необходимых для ведения учета в соответствии с российским законодательством. Этот софт также должен быть включен в реестр российского ПО. Госорганы должны в течение 3 месяцев договориться с Казначейством об организации работ по переходу на ведение бюджета с помощью нового ПО.

Казначейство будет централизованно предоставлять госорганам сервисы для ведения бюджетного учета. Данные по бюджетам будут храниться и обрабатываться в дата-центрах Федеральной налоговой службы (ФНС), созданных в соответствии с постановлением правительства от 5 декабря 2011 г. № 995 «Об осуществлении бюджетных инвестиций в проектирование и строительство объектов капитального строительства — центров обработки данных, подведомственных Федеральной налоговой службе».

Та информация, которая в данный момент содержится в информационных системах отдельных ведомств, будет переведена в базы данных Казначейства. Когда, в каком формате и порядке будет происходить передача данных, должно определить Казначейство.

Переход на централизованное ПО для бюджетного учета планируют завершить к 2020 г. Во всех новых госорганах, которые будут созданы уже после вступления в силу постановления, бюджет будет вестись по умолчанию с помощью софта, закупленного Казначейством.

Как будет проходить закупка
В сотрудничестве с АНО «Центр компетенций по импортозамещению в сфере информационно-коммуникационных технологий» Минкомсвязи займется предварительным тестированием офисного и защитного ПО из Единого реестра отечественного ПО. Цель тестирования — проверить, соответствуют ли программы характеристикам, которые заявил разработчик.

Госорганы, которые нуждаются в перечисленных видах ПО, будут передавать в Минкомсвязи и Казначейство бюджетные ассигнования на его закупку. Минкомсвязи и Казначейство будут формировать потребности в централизованных закупках по данным отдельных органов. Порядок формирования потребностей Минкомсвязи и Казначейство согласуют с Минфином.

Также Минкомсвязи и Казначейство будут принимать предложения по улучшению софта. Если такое предложение получает одобрение подкомиссии по использованию ИТ при предоставлении государственных и муниципальных услуг Правительственной комиссии по использованию ИТ для улучшения качества жизни и условий ведения предпринимательской деятельности, то Минкомсвязи должно обеспечить осуществление указанного улучшения в срок до 9 месяцев. На рассмотрение предложения у Минкомсвязи есть 20 дней.

ПО будет закупаться вместе с сопутствующими услугами по его установке, настройке, поддержке и т.д. Наряду с закупкой на носителях и поставкой в электронном виде по каналам связи предусмотрена в том числе возможность использования облачных вычислений, она также отдельно прописана для офисного ПО.

Переход госорганов на отечественное ПО
Напомним, в июле 2016 г. правительство утвердило план перехода федеральных госорганов и внебюджетных госфондов на отечественное офисное ПО в 2016-2018 гг. Нынешнее постановление предписывает госорганам продлить этот срок до 2020 г., старые планы-графики при этом нужно скорректировать совместно с Минкомсвязи.

Согласно нынешнему постановлению, в третьем и четвертом кварталах 2018 г. потребность в закупках офисного и защитного ПО должна составить соответственно как минимум 15% и 20% показателей и индикаторов эффективности перехода госорганов на отечественный софт, установленных на 2018 год.

Подробнее: http://www.cnews.ru/news/top/2018-06-14_pravitelstvo_tsentralizovalo_zakupki_po_dlya_gosorganov
map, it-region, карта

Информации – надёжную защиту: в Салехарде обсудили меры по технической защите ИОВ ЯНАО

Информации – надёжную защиту: в Салехарде обсудили меры по технической защите информации исполнительных органов власти ЯНАО.

В Салехарде в режиме видеоконференцсвязи состоялся семинар-совещание, участие в котором приняли члены Совета по технической защите информации исполнительных органов власти ЯНАО под председательством заместителя председателя Совета – директора департамента специальных мероприятий ЯНАО Константина Гриня, руководители и представители окружной и муниципальной власти Ямало-Ненецкого автономного округа. Мероприятие прошло на площадке Совета по технической защите конфиденциальной информации под эгидой ФСТЭК России, как основного регулятора в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации. От ФСТЭК участие в семинаре-совещании приняла заместитель начальника отдела Управления по УрФО Евгения Привалова.

Напомним, в России, как и во всём мире, сегодня уделяется особое внимание обеспечению надёжной защиты информации, имеющей государственное значение. На Ямале к этой теме относятся самым серьёзным образом, этот вопрос, напомним, рассматривался 18 мая на совещании в окружной столице при губернаторе ЯНАО. В своём выступлении заместитель главы региона Наталия Фиголь, курирующая данную сферу, представила основные направления работы на перспективу и на ближайшее время.

Сегодня на семинаре-совещании речь шла о конкретных мероприятиях в сфере защите информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления субъектов критической информационной инфраструктуры.

В частности, были представлены результаты анализа защищённости систем исполнительных органов власти региона, а также информация о проделанной работе. Были рассмотрены меры, направленные на предотвращение нарушений требований законодательства в данной сфере на муниципальном уровне, а также ход реализации профильных законов.

То, что к участию в семинаре-совещании были приглашены представители не только региональной, но и муниципальной власти, Наталия Фиголь назвала не случайным. «Сейчас в регионе ведётся активная работа по реализации положений Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон определил в качестве субъектов критической информационной инфраструктуры – государственные органы, госучреждения, российские юридические лица и индивидуальных предпринимателей, которым принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления в ряде стратегических сфер», - сказала заместитель губернатора ЯНАО. Руководитель аппарата главы арктического региона, обращаясь к участникам заседания, подчеркнула: «…Вы должны быть в курсе проводимой государственной политики, быть готовы принять активное участие в ней».

Напомним, что за 12 месяцев прошлого года на государственные и муниципальные системы округа зафиксировано 170 млн киберугроз. Все они были успешно отражены. Однако уже в первом квартале число угроз составило 12 млн. Наталия Фиголь в комментарии отметила, что в округе осознают степень ответственности, то, что вместе с преимуществами цифровизации (а у региона в этой сфере есть реальные результаты) возрастают и угрозы информационной безопасности. «Да, сегодня нами обеспечена всесторонняя поддержка систем защиты информации округа. Проверочные мероприятия проводятся планово и системно, эта работа идёт на постоянной основе. Но останавливаться нельзя, мы должны работать на опережение, чтобы округ был максимально полно защищён от киберугроз», - подчеркнула заместитель главы региона.

По итогам расширенного совещания были приняты конкретные решения. Главам муниципалитетов, руководителям исполнительных органов власти округа и местного самоуправления, курирующим сферы здравоохранения, науки, транспорта, связи, энергетики, топливно-энергетического комплекса и горнодобывающей промышленности, даны поручения по организации эффективной работы по исполнению ФЗ-187.

Отметим, представитель ФСТЭК России по Уральскому федеральному округу Евгения Привалова во время заседания вручила диплом 1 степени руководителю подразделения по защите информации высшего органа государственной власти ЯНАО за 1 место в деловой игре по информационной безопасности между представителями субъектов Российской Федерации УрФО (департамент специальных мероприятий ЯНАО).

Также вручена медаль ФСТЭК России «За укрепление государственной системы защиты информации» II степени директору департамента специальных мероприятий ЯНАО Константину Гриню. Эти знаки отличия, по мнению ямальских специалистов, будут стимулом для ещё более результативной и эффективной работы на благо Ямала и России.

Подробнее: http://xn--80aealotwbjpid2k.xn--80aze9d.xn--p1ai/news/lenta/safety/detail/129524/
map, it-region, карта

Тенденции импортозамещения и информационной безопасности госорганов

Компания «КСБ-СОФТ», входящая в группу компаний «Кейсистемс», провела собственное исследование с целью анализа ситуации, связанной с политикой ИТ-импортозамещения в госсекторе . В исследовании приняли участие 63 организации. Богатый опыт работы в области обеспечения безопасности информации и обширная география внедрения крупных проектов позволяют компании отследить изменения, происходящие на российском ИТ-рынке под влиянием процесса импортозамещения. Исследование базируется на опросе руководителей отделов защиты информации региональных органов исполнительной власти и включает в себя три блока вопросов, позволяющих выявить актуальные потребности органов государственной власти в вопросах замещения зарубежных программных продуктов отечественными решениями и в вопросах обеспечения информационной безопасности.

Доля респондентов, заинтересованных в решении вопроса импортозамещения, составила 55,6 % от общего числа полученных ответов, что можно обозначить как тенденцию роста интереса к отечественным решениям у лиц в госорганах, принимающих решения по части ИТ.

В вопросе импортозамещения операционных систем ожидаемо не выявлено очевидного лидера, поскольку на данный момент сложно говорить о решении, которое соответствовало бы всем требованиям госорганов. У ряда ОС есть положительный опыт внедрения, но это не означает, что данные решения являются универсальными. Выбор РОСА, Альт Линукс и Astra Linux вызван рядом причин, в том числе тем, что:

данные операционные системы сертифицированы в системе сертификации ФСТЭК России;
включены в Единый реестр отечественного ПО;
совместимы с «наложенными» средствами защиты информации;
имеют положительный опыт внедрения в органах государственной власти субъектов Российской Федерации.

Операционные системы применяются не только на серверах, но и на большом числе конечных станций, на данный момент среди них нет явного лидера, и многие организации до сих пор не могут определиться с выбором.

Результаты изучения тенденций импортозамещения в сегменте операционных систем (ОС) показывают, что позиции продукции Microsoft сохранятся в основном благодаря неготовности прикладного программного обеспечения и периферийного оборудования работать в среде иных операционных систем. За 2017 год закупки ОС Windows активно продолжались в форме поставки оборудования с предустановленной операционной системой, а также по соображениям совместимости с прикладным ПО.

Результаты анализа активно применяемых систем управления базами данных более однозначны и представлены на Рисунке 1.

Наиболее популярной СУБД является Postgres Pro, что обусловлено следующими факторами:

Postgres Pro разработана на основе свободно-распространяемой СУБД PostgreSQL;
СУБД совместима с большим количеством операционных систем, в том числе с сертифицированными операционными системами Astra Linux, РОСА и Альт Линукс;
Postgres Pro имеет версию продукта, сертифицированную во ФСТЭК России по требованиям руководящих документов РД СВТ по 5 классу, РД НДВ по 4 уровню и заявленным Техническим Условиям;
поддержка продукта осуществляется на достаточно высоком профессиональном уровне.

Стоит отметить, что тренд по замене СУБД наметился еще до Постановления об импортозамещении. Министерство связи и массовых коммуникаций Российской Федерации и другие ведомства уже делали ставку на свободное распространение СУБД, в частности Postgres и MySQL.

Наличие сертифицированной версии Postgres Pro и совместимость с сертифицированными операционными системами дают значительное преимущество в использовании продукта в государственных информационных системах до 1 класса включительно и информационных системах персональных данных до 1 класса включительно в условиях нарастающей тенденции к импортозамещению. Также можно отметить большое количество примеров успешной миграции информационных систем на данную систему управления базами данных.

При изучении рынка по вопросу импортозамещения офисного программного обеспечения респондентам предлагалось обозначить заинтересованность к офисному программному обеспечению МойОфис или же обозначить иное офисное программное обеспечение. Анализ полученных анкет показал, что:

доля клиентов, которые рассматривают офисное ПО МойОфис, составляет 35,7 % от общего числа заинтересованных в офисном ПО;
имеется интерес к свободно распространяемому офисному пакету LibreOffice;
имеется потребность при выборе офисного ПО в проведении стендовых испытаний/опытной эксплуатации.

Алексей Беляев, представитель МойОфис, отметил: «В настоящий момент идет активное развитие российского программного обеспечения, в первую очередь в том сегменте, который исторически был занят иностранными компаниями: программы для офиса и профессиональной работы.

Напомню, что согласно Приказу Министерства связи „Об утверждении плана по импортозамещению программного обеспечения“ закупка программного обеспечения, не включенного в Единый реестр российских программ, для муниципальных и государственных нужд ограничена и сопровождается наложением штрафов.

Продукты МойОфис достигли того уровня развития, который позволяет использовать их в большей части процессов, связанных с редактированием документов. Мы одними из первых вошли в реестр российского ПО и продолжаем активно расширять возможности платформы. Например, нами уже созданы механизмы интеграции с ведомственными информационными системами.

Вопрос импортозамещения в ИТ в целом непростой и предполагает адаптацию существующих процессов под новые продукты. А это требует большой вовлеченности сотрудников. В нескольких регионах у нас уже есть позитивный опыт системной работы по исследованию реальных потребностей пользователей с привлечением нескольких отечественных вендоров и результатами в виде создания региональных ИТ-стандартов.

Конечно, можно попробовать перейти на open source-решения: они бесплатны. Качай — ставь — пользуйся. Но у большинства таких продуктов нет понятного и гарантированного роадмапа, они не обеспечивают поддержку, необходимую государственным организациям, и никто не будет нести ответственность за работоспособность Ваших бизнес-процессов».

Не секрет, что основным драйвером проектов по информационной безопасности является подготовка к проверкам регуляторов. Заинтересованность со стороны респондентов в подготовке к проверкам надзорных органов представлена на Рисунке 2. Больше всего анкетируемых на данный момент интересует прохождение проверки ФСТЭК России.

Заинтересованность в применении основных организационных мер по защите персональных данных и информации, обрабатываемой в государственных информационных системах, представлена на Рисунке 3.

Интерес со стороны респондентов к применению организационных мер по защите информации обусловлен необходимостью выполнения требований Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ними нормативно-правовых актов. В целом же интересы со стороны респондентов к выполнению мероприятий по вопросу применения организационных мер по защите информации находятся примерно на одном уровне. Это обуславливается тем, что данные мероприятия входят в базовый набор мероприятий по обеспечению безопасности информации.

Следует отметить, что со вступлением в силу Постановления Правительства РФ от 11.05.2017 № 555, внесшего изменения в Постановление Правительства РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», наблюдается тенденция к росту потребности к подготовке и согласованию моделей угроз и технических заданий со ФСТЭК России и ФСБ России в части, касающейся создания/модернизации систем защиты информации государственных информационных систем. Отдельное внимание респонденты уделяют мероприятиям по регламентации взаимодействия с иными информационными системами.

Заинтересованность в применении основных технических мер по соответствию требованиям по защите персональных данных и информации представлена на Рисунке 4.

В вопросе применения основных технических мер по защите информации тенденция к использованию «классических» сертифицированных средств защиты информации остается неизменной. Это:

средства защиты информации от несанкционированного доступа на рабочих местах и серверах информационной системы;
средства антивирусной защиты;
средства межсетевого экранирования;
средства организации VPN-сетей;
системы обнаружения вторжений.

Внедрение иных средств защиты информации по большей части обуславливается специфической ИТ-инфраструктурой респондентов. К примеру, наличием системы виртуализации.

Одновременно с этим результаты анкетирования показывают, что респонденты недостаточно уделяют внимание проектированию системы защиты информации и стендовым испытаниям средств защиты информации. Ошибки, допущенные при проектировании системы защиты информации, могут негативно сказаться на всем процессе внедрения и повлечь значительные финансовые убытки для организации. Стендовые испытания защитных комплексов значительно снижают риски некорректного внедрения системы защиты информации и возникновения негативных последствий, а также влияют на скорость внедрения системы защиты информации.

Стендовые испытания — обязательный этап перехода госорганов на российское программное обеспечение. В Ростовской области активно практикуют пилотные проекты в рамках импортозамещения, то есть закупают программные продукты не по рекомендации, а непосредственно изучив их на практике, опробовав на своих действующих информационных системах.

Начальник Управления информационной инфраструктуры Министерства информационных технологий и связи Ростовской области Юрий Емельянов поделился опытом осуществления стендовых испытаний в регионе: «Для качественной проверки программных продуктов было выбрано 5 региональных органов исполнительной власти и 5 органов муниципального образования, назначены ответственные. После внедрения программных решений в учреждения было начато наблюдение над тем, как они стыкуются с системами, как работают, каким образом происходит взаимодействие с ГИС и СЭД. Все обнаруженные недоработки отправлялись разработчикам на исправление. Таким образом мы пилотировали МойОфис, Альт Линукс, „АльфаДок“, BellChat. Проект длился год, его реализация продолжается и по сегодняшний день.

Разработчики благодарны нам за возможность совершенствовать свои продукты в соответствии с потребностями пользователей, исправлять ошибки, становиться ближе к готовому решению. Это успешное взаимодействие, опыт которого, надеюсь, облегчит внедрение в других регионах.

Хотелось бы посоветовать всем организациям, имеющим в рамках импортозамещения план с указанием к переходу на то или иное ПО или ОС, обязательно провести пилот, проверить совместимость систем — это поможет принять взвешенное решение о покупке продукта, адаптированного под нужды учреждения».

Анализ приоритетности использования средств защиты информации демонстрирует существенный перевес в пользу «накладных» СЗИ. Такое предпочтение, вероятно, вызвано тем, что:

на рынке представлен достаточно большой выбор «накладных» сертифицированных средств защиты информации;
отсутствуют сертифицированные версии продуктов, предназначенных для выполнения функций основной деятельности организации;
используются импортозависимые операционные системы, СУБД, офисное ПО, среды виртуализации и т.д., не имеющие сертификатов соответствия ФСТЭК России и ФСБ России.

Большинство респондентов видят оптимизацию технической площадки посредством закупки рабочих станций (Рис. 5)

Как видно из графика, использованию облачных сервисов в оптимизации технической площадки уделяется пока недостаточно внимания, в то время как облачные сервисы могут значительно облегчить управление организационно-техническими мероприятиями по защите информации в организации.

Максим Сорокин, заместитель генерального директора ООО «КСБ-СОФТ», подчеркивает: «Опыт внедрения нашего программного комплекса в различные организации показывает, насколько проще становится в результате создавать необходимый пакет организационно-распорядительной документации и поддерживать его в соответствии с актуальными требованиями законодательства. Функционал по обработке и защите ПДн, по защите информации в ГИС, по эксплуатации криптосредств позволяет руководителям верхнего звена сформировать единую концепцию безопасности, а после — контролировать выполнение задач во всей подведомственной сети. Начальники отделов и служб могут грамотно выработать необходимую техническую документацию. Менеджеры среднего звена могут использовать в своей работе количественные показатели оценки информационной безопасности».

По вопросу технического сопровождения средств защиты информации, в целом респонденты предпочитают полностью самостоятельно сопровождать СЗИ (Рис. 6).

Наблюдается тенденция повышения необходимости качественной составляющей ИТ-решений в области обеспечения безопасности веб-ресурсов (Рис. 7).

Наличие интереса респондентов в данном направлении объясняется, вероятнее всего:

широким распространением веб-технологий при создании программного обеспечения, предназначенного для выполнения возложенных на органы власти функций, полномочий и обязанностей в части открытости данных;
существенным ростом кибератак в 2017 году, когда вирусы атаковали крупнейшие отечественные компании и СМИ: вредоносные программы шифровали файлы, а за расшифровку требовали выкуп.

На фоне роста киберугроз, значимая часть которых реализуется путем воздействия на пользователей информационной системы, обучение сотрудников становится ключевым условием построения информационной безопасности организации (Рис. 8). Для респондентов наиболее актуально повышение квалификации ответственных лиц по программам, согласованным со ФСТЭК России, а также участие в обучающих семинарах/вебинарах и обучение администраторов применению средств защиты информации.

Интересно отметить, что по результатам 2017 года многие региональные информатизаторы заявили о создании и развитии систем кадрового учета с функционалом удаленного обучения и тестирования государственных служащих.

Исходя из результатов исследования можно констатировать, что развитие нормативно-правового поля в области импортозамещения активно продолжается. В то же время обнаруживаются некоторые риски, которые стоит обязательно учитывать в рамках масштабного процесса ИТ-замещения.

Наибольшие сложности вызывают вопросы импортозамещения операционных систем клиентских рабочих мест. Это в первую очередь может быть обусловлено сильной зависимостью абсолютного большинства прикладного программного обеспечения от операционных систем Win-семейства. Также из основных рисков реализации планов импортозамещения можно выделить отсутствие на отечественном рынке полных аналогов импортных ИТ-продуктов, их значительные отличия в функциональности и удобстве пользования, а также возможность сбоев и потерь данных при миграции на импортонезависимые платформы.

Таким образом, составление и реализация планов/стратегий импортозамещения не может быть только организационным мероприятием, поскольку оно неразрывно связано с техническим пилотированием/стендовыми испытаниями предполагаемых к внедрению импортонезависимых решений, а следовательно, и сами планы должны корректироваться по результатам таких мероприятий.

Интересны выводы из наблюдений за финансовой составляющей вопроса: возможны случаи большей экономической эффективности обновления импортного ПО, чем внедрение импортонезависимых решений; но наблюдается и обратная ситуация — когда экономическая эффективность эксплуатации информационных систем повышается за счет перехода на российское программное обеспечение.

Позитивным аспектом можно считать то, что сотрудничать с отечественными производителями программного обеспечения проще и понятнее: таким образом можно более значимо влиять на развитие продуктов.

Также стоит отметить необходимость постоянного взаимодействия организаций с производителями информационных систем по вопросам, связанным с реализацией требований по импортозамещению в продуктовой линейке.

Вот 4 шага, которые помогут ускорить ИТ-импортозамещение в организации:

Изучайте обстановку в организации и существующий опыт коллег.
Взаимодействуйте с разработчиками информационных систем.
Собирайте испытательные стенды.
Обеспечьте построение системы защиты.

В области информационной безопасности основными направлениями остаются вопросы обеспечения безопасности государственных информационных систем и персональных данных, в том числе по причине усиления контрольно-надзорной деятельности регуляторов в данной области — ФСТЭК России, ФСБ России, Роскомнадзора.

Важно отметить, что многие государственные органы осознают, что информационная безопасность не разовое мероприятие, а регулярный процесс: это подтверждается востребованностью актуализации организационных мероприятий и периодического контроля эффективности применяемых мер защиты. В целом процесс развития информационных систем и систем защиты становится более регламентированным, в том числе вследствие нормативного регулирования данных вопросов.

Отдельным актуальным вопросом можно считать четкое регламентирование и распределение ответственности при организации информационного взаимодействия между информационными системами и при поручении обработки персональных данных.

Важно также отметить понимание значительного развития векторов атак, прежде всего на веб-системы. Вследствие этого многие организации заинтересованы в применении специальных технических средств (веб-фаерволы, системы обнаружения и предотвращения вторжений и др.), в проведении тестирования на проникновение и выстраивании процессов экспертного технического сопровождения подсистем информационной безопасности, а также в мониторинге и расследовании инцидентов информационной безопасности. Приятно отметить, что в делегировании таких чувствительных процессов организации многие госорганы, наиболее активно использующие другие продукты группы компаний «Кейсистемс», проявляют к ним наибольшую степень доверия.

Одним из самых значимых результатов исследования является осознание важности высокого уровня квалификации ответственных за информационную безопасность сотрудников, а также соблюдения кибергигиены всеми пользователями информационных систем. С этим связана большая заинтересованность в программах обучения, согласованных со ФСТЭК России, и участие в обучающих системных информационных вебинарах/семинарах.

Увеличить
1. Рисунок 1. Популярность СУБД

Увеличить
Рисунок 2. Заинтересованность в подготовках к проверкам надзорных органов

Увеличить
Рисунок 3. Заинтересованность в применении организационных мер защиты информации

Увеличить
Рисунок 4. Заинтересованность в применении технических мер защиты информации

Увеличить
Рисунок 5. Заинтересованность в развитии и оптимизации технической площадки

Увеличить
Рисунок 6. Заинтересованность в техническом сопровождении средств защиты информации

Увеличить
Рисунок 7. Заинтересованность в обеспечении безопасности веб-ресурсов

Увеличить
Рисунок 8. Заинтересованность в обучении по вопросам информационной безопасности

Подробнее: https://www.crn.ru/news/detail.php?ID=126182
map, it-region, карта

Планы на ближайшую «шестилетку»

В день инаугурации Президент РФ Владимир Путин подписал указ «О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года», в котором, в частности, поручил Правительству в рамках нацпрограммы «Цифровая экономика Российской Федерации» обеспечить «использование преимущественно отечественного ПО в государственных и муниципальных органах», а также создать глобальную конкурентоспособную инфраструктуру передачи, обработки и хранения данных преимущественно на основе отечественных разработок.

Также документ предписывает Правительству Российской Федерации при реализации совместно с органами государственной власти субъектов Российской Федерации национальной программы обеспечить в 2024 г. увеличение внутренних затрат на развитие цифровой экономики за счёт всех источников (по доле в валовом внутреннем продукте страны) не менее чем в три раза по сравнению с 2017 г., а также создать устойчивую и безопасную информационно-телекоммуникационную инфраструктуру высокоскоростной передачи, обработки и хранения больших объёмов данных, доступную для всех организаций и домохозяйств.

Кроме того, до 2024 г. планируется решить следующие задачи:

создание системы правового регулирования цифровой экономики, основанного на гибком подходе в каждой сфере, а также внедрение гражданского оборота на базе цифровых технологий;
обеспечение подготовки высококвалифицированных кадров для цифровой экономики;
обеспечение информационной безопасности на основе отечественных разработок при передаче, обработке и хранении данных, гарантирующей защиту интересов личности, бизнеса и государства;
создание сквозных цифровых технологий преимущественно на основе отечественных разработок;
внедрение цифровых технологий и платформенных решений в сферах государственного управления и оказания государственных услуг, в том числе в интересах населения и субъектов малого и среднего предпринимательства, включая индивидуальных предпринимателей;
преобразование приоритетных отраслей экономики и социальной сферы, включая здравоохранение, образование, промышленность, сельское хозяйство, строительство, городское хозяйство, транспортную и энергетическую инфраструктуру, финансовые услуги, посредством внедрения цифровых технологий и платформенных решений;
создание комплексной системы финансирования проектов по разработке и (или) внедрению цифровых технологий и платформенных решений, включающей в себя венчурное финансирование и иные институты развития и т.д.

Полный текст Указа можно прочитать на официальном сайте «Президент России» по ссылке http://www.kremlin.ru/events/president/news/57425.

Подробнее: https://www.crn.ru/news/detail.php?ID=126118