Что такое импортозамещение в ИТ
Совсем кратко пробегусь по основным вопросам для синхронизации.
1. Что такое отечественное ПО и оборудование?
С юридической точки зрения российскими считаются те продукты, чьё российское происхождение подтвердили в Министерстве цифрового развития и в Минпромторге соответственно включением в свои реестры.
С конца 2017 г. согласно постановлению Правительства РФ №1594 ПО стран ЕврАзЭс не подпадает под определение «иностранного», но пока реестра евразийского программного обеспечения нет, то и использовать, например, белорусское ПО в качестве импортозамещающего нельзя.
Сразу оговорюсь, что пост больше — про ПО.
2. А оно реально произведено в РФ с нуля?
В некоторых случаях — да. Например, решения от Kaspersky или Abbyy.
В других за основу взято свободное программное обеспечение (СПО), и к нему применены собственные разработки. Сюда можно отнести, например, большинство российских ОС, МойОфис Почта и Яндекс.Браузер. Это не обязательно плохо. По этому пути изначально шли, например, Nutanix и Zimbra. Главное — быть уверенными, что производитель не организовал «сборку» под единственный проект и планирует поддерживать решение в будущем.
Иногда возникают курьёзные случаи. Решение разработано в России, но продаётся через иностранную компанию. В этом случае, чтобы попасть в реестр, приходится организовывать отдельную российскую фирму и делать форк продукта под российский рынок. Преимущество таких решений — оперативная техническая поддержка третьего уровня, привыкшая к работе по западным стандартам.
3. А если этого ПО недостаточно?
В реестре отечественного ПО присутствуют операционные системы (ОС) на базе ядра Linux. У каждой из этих ОС есть свой репозиторий. Поскольку формально приложения входят в состав ОС, так же как и службы Windows, то они считаются российскими, и за их поддержку отвечает производитель ОС.
4. Есть ли альтернативы?
Есть СПО, о котором я уже говорил. Но имеются нюансы.
— Если под внедрение СПО вам потребуются бюджетные деньги, то нужно будет согласовать использование СПО, и придётся доказать, что оно соответствует видению Минкомсвязи.
— В некоторых случаях могут быть проблемы с бухгалтерией, с постановкой на баланс и закупкой поддержки пустого места.
— Будут сложности с аттестацией по требованиям ИБ (об этом — дальше).
5. Кому и зачем вообще нужно заниматься импортозамещением?
В первую очередь — госорганам, и в скором времени — компаниям с государственным участием. Задачу по импортозамещению перед ними ставит государство по понятным причинам:
— Перераспределение денежных средств (чтобы максимум средств оставался в стране).
— Защита от потенциальных закладок.
— Поддержка российских производителей.
— Защита от санкций.
Для госучреждений особенно важен факт подтверждения российского происхождения программ и оборудования. Для коммерческих организаций вопрос отказа от импортного коммерческого ПО тоже стоит, но по несколько другим причинам:
- Санкционные риски. Причём с обеих сторон. С одной стороны, например, Русал недавно попал под санкции, и правительство США всерьёз размышляет над полным запретом взаимной торговли. С другой, наше Правительство и само славится (а)симметричными «ответами Чемберлену». Пока коммерческим организациям удаётся закупать и использовать ПО по схеме аренды через облачного провайдера, но как долго это продлится, никто не знает.
- Экономия. Доллар растёт, а вместе с ним — и отчисления иностранным поставщикам. При этом под санкциями развиваются поддержка опенсорс-проектов, отечественное «форкостроение» и разработка. Появляется больше ИТ-специалистов, готовых работать с окружением Linux не в компаниях на 10 пользователей, а в крупных организациях с десятками и сотнями «дочек» и «внучек». То есть переход на опенсорс воспринимается уже не как «прыгаем в воду и пытаемся выплыть», а как «вот у тех двоих получилось, значит, и у нас получится».
Называть такой переход для коммерческих организаций импортозамещением некорректно, но подходы к реализации проектов по уходу с импортного проприетарного ПО будут совпадать.
Немного истории
В 2015 году мы оценивали ФЗ-188, который запрещает покупать софт на конкурсе, если у него есть отечественный аналог.
С тех пор произошло немного изменений:
- Реестр российского ПО появился и пополнился. Реестр сопровождается Минкомсвязи (теперь — Министерство цифрового развития, связи и массовых коммуникаций). Сейчас в нем более 4 600 наименований отечественных программ. Правда, классификация оставляет желать лучшего. Например, Яндекс.Браузер относится к категориям «Прикладное программное обеспечение общего назначения» (там же ещё — 800 пунктов) и «Офисные приложения» (200 пунктов). То есть найти ПО нужной категории можно только перебором. Критерии приёма в реестр, кстати, можно посмотреть тут.
- Идёт «война» с переменным успехом между госорганами, пытающимися обойти ограничения ФЗ-188 и закупить иностранный софт, используя пункт «обоснование невозможности соблюдения …», и поставщиками отечественного ПО. Первые придумывают всё новые обоснования. Вторые подают жалобы в ФАС и отменяют конкурс.
- Продукты из Евразийского экономического союза приравнены в приоритетах к тем, что находятся в реестре отечественного ПО. То есть казахстанский антивирус — брат русского антивируса. Но если вы вдруг нашли форк Linux производства Армении, то не спешите его ставить: ЕАЭС на текущий момент не имеет своего реестра, поэтому непонятно, какой софт местный, а какой — не местный. То есть, пока реестра не будет, доказать принадлежность ПО к ЕАЭС нельзя.
- Вышло Постановление Правительства РФ №968 от 26 сентября 2016 г., требующее исключать из конкурса поставщиков иностранного оборудования (согласно перечню), если в конкурсе участвуют два и более отечественных поставщика. Соответствующий реестр ведет Минпромторг.
- И главная тема второй половины этой статьи – Приказ №334 Минкомсвязи «Об утверждении методических рекомендаций по переходу федеральных органов исполнительной власти и государственных внебюджетных фондов на использование отечественного офисного программного обеспечения, в том числе ранее закупленного офисного программного обеспечения». Потом были изменения к приказу, и совсем недавно — его расширения на новые организации.
Аттестация по требованиям ИБ
Аттестация автоматизированной системы по требованиям безопасности информации нужна в тех случаях, когда эта система – ГИС, либо в ней ведётся работа с персональными данными.
Казалось бы, при чём тут импортозамещение? Если у вас есть пока неаттестованные системы и вы планируете заниматься импортозамещением, то это нужно учитывать, чтобы не выполнять аттестацию дважды. Проекты логично совмещать. Но, что важнее, возможность аттестации нужно прорабатывать заранее — на этапе планирования перехода на отечественное ПО. Особенно это касается операционной системы.
Будете ли вы использовать сертифицированную ОС или ограничитесь навесными средствами ИБ.
Есть ли полный набор навесных средств защиты, подходящих под вашу модель угроз, для данной операционной системы.
Пример: если вы используете логин и пароль для входа в операционную систему, которая не серфтицирована ФСТЭК и на которой не стоит навесного ПО защиты пароля, то с точки зрения регуляторов у вас отсутствует требование ввода пароля, и вы можете зайти в ОС под любой ролью.
Навесные средства защиты могут снизить стабильность работы решения. Создатели ОС их очень не любят, поэтому обычно организуют сертификацию сами с использованием «правильных» костылей безопасности.
Для отдельной сертификации ФСТЭК, по сути, надо поддерживать отдельную линейку продуктов и обновлять её сертификаты раз в полгода. Хотя бы. Естественно, опенсорс-сообщества не стремятся лоббировать и оплачивать такие сертификации. Поэтому появляются коммерческие компании, которые обеспечивают сертификат и поддержку. И проще всего держать такую ветку оказывается производителю отечественной ОС.
План перехода
Вместе с приказом №334 Минкомсвязи предложило типовой план перехода на отечественное ПО для федеральных органов исполнительной власти и государственных внебюджетных фондов.
Если в 2015-м просто стало сложнее закупить новое ПО, то теперь от госорганов ожидают замену уже используемого. С одной стороны, это «рекомендации», с другой, Минкомсвязи контролирует как исполнение предоставленного плана, так и частично бюджеты на информатизацию.
ЦА – центральный аппарат, ТО – территориальный офис.
Буквально месяц назад вышел аналогичный приказ за номером 335 для органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления муниципальных образований Российской Федерации. В нем цифры немного поменьше.
Но посмотрим не на цифры, а на наименования. Несмотря на название «офисное программное обеспечение», сюда входит операционная система.
В Минкомсвязи просто отразили перечень программного обеспечения, которое гарантированно используется в любом государственном органе. Отсутствуют фактически только кадровая и финансовая системы. Зачастую они лежат в защищённом сегменте, где идёт обработка перс. данных. Возможно, тонкий намёк, что эту проблему можно оставить на потом, включив в оставшиеся 20%.
Пройдёмся по списку. Справочно-правовая сейчас — почти у всех: Гарант, Консультант или Кодекс, антивирус — Касперский, документооборот — тоже от одного из отечественных производителей. Остальное встроено в систему или нужно ставить внешнее. Интересный момент: ОС считается в количестве штук на компанию. И 80%, которые по итогам должны стать отечественными, включают и клиентские, и серверные в любой удобной вам пропорции.
Казалось бы, спасибо, государство. Куда бежать — понятно, план есть, список ПО в реестре есть, даже деньги, может, выделят в бюджете под такую активность. Но есть сложности:
- У вас есть сотрудники, которым нужен какой-то из ведомственных порталов с электронной подписью. Например, Госзакупки. Знаете, кто у нас до сих пор использует ActiveX? Никогда не догадаетесь. В общем, нужна импортная ОС Windows для работы.
- На некоторых рабочих местах наверняка установлено специально разработанное под вас ПО, работающее только с Windows.
- Еще хуже, если разработчик вашего документооборота не озаботился полноценным веб- клиентом. Только толстый клиент под Windows. Только хардкор.
Дальше можно:
- Решить, что «проблемные» сотрудники попадут в те самые 20 % допустимых незамещённых лицензий и заместят остальных.
- Или же написать письмо регулятору про то, что у вас есть задачи, которые не могут быть решены на отечественном ПО в принципе. Скорее всего, вам пойдут навстречу.
- Комбинированный сценарий, когда доступ к проблемному ПО временно (Ау, создатели госзакупок!) осуществляется через терминальный доступ.
Но я видел и странные ситуации. Например, установку вторых ОС на те же рабочие места. Стоят одна Windows и один отечественный Linux. Пользователь на загрузке может выбирать ОС. Правда, на деле в отечественную ОС он не заходит совсем.
Еще более ленивый сценарий, когда «прокатывает» даже просто закупка лицензий. Факт закупки есть, а закупленное ранее импортное программное обеспечение переходит в разряд «трофейного» и продолжает использоваться.
Насколько я знаю (оценочное суждение), некоторых не штрафуют. Опять же, оценочное суждение в том, что мы уже видели, как такие законы внедряются. Скорее всего, всё идёт к тому, что придут потом с проверками. Посмотрят закупленные лицензии, сыгранные конкурсы, внедрённые проекты. То есть риски всё равно очень высоки.
План есть. Теперь нужен план реализации плана
Переходим к практической части. Задача — минимизировать риски и добраться до цели (реализация плана Правительства/Минкомсвязи) с минимальными потерями (функциональности, нервов, отношений коллег по работе ). Поэтому алгоритм такой:
- Выполнить анализ того, какие программы используются на местах. Анализ должен включать в себя как автоматизированный сбор данных с рабочих мест (старый добрый MS MAP, например), так и опрос техподдержки и подрядных организаций. Поддержка может что-то забыть, а MS MAP не найдет веб-сервисов и не скажет, насколько найденное ПО нужно пользователям. Тут же желательно собрать сведения по имеющейся периферии. Далеко не все сканеры и принтеры совместимы с Linux. Все нужно протестировать. Некоторые придётся заменить.
- Собрать отделы ИБ, ИТ и бизнес-приложений и понять, у кого какие ограничители. Я знаю случай, когда на готовое внедрение просто не встало выбранное ИБ VPN-решение по ОС. Стоит думать об этом заранее и тремя отделами.
- Тут же стоит подумать, как подсластить пользователям пилюлю. Дело в том, что раз уж меняется весь стек начиная с ОС, то надо воспользоваться ситуацией и поставить им разный новый отечественный или открытый софт. Например, в госкомпаниях очень радуются разрешённым мессенджерам. Раньше никакого не было, а теперь есть.
- Попробовать определиться с операционной системой. Если не получится сделать на этом шаге, стендов будет более одного.
- Составить список прикладного ПО и написать вендорам с вопросами про совместимость (у кого-то может оказаться отдельная линейка, у кого-то ожидается патч с поддержкой Linux, у кого-то — готовый набор настроек для WINE (эмулятор обработчика вызовов Windows).
- Собрать тестовый стенд и начать гонять на нём реальные проекты. На этой стадии может выясниться, что какой-то критичный функционал потерян, например, схемы инженеров не конвертируются в выбранный офисный пакет. Тестировать надо всё и вся. Вендоры обычно помогают на крупных инсталляциях сами, мы неоднократно заказывали патчи.
- Внедрять пилот после тестирования. Нужен реальный фидбэк от небольшого числа активных пользователей с разной спецификой работы. 10 человек будет достаточно. Вот наш пример после одного из пилотов: добавлены новые ярлыки на рабочий стол, и изменены имена старых, заменен графический редактор, переделана схема монтирования файловых ресурсов, исправлены ошибки работы WINE с некоторыми приложениями.
- По итогам пилота собрать образы рабочих мест и готовиться к тиражированию.
- Организовать обучение.
- И только теперь — внедрять.
При выборе стека ПО помните, что можно взять готовые из программы из репозитория ОС, а можете закупить соответствующее российское ПО. Примеры:
Компонент | По из репозитория ос | Специализированные по |
Офисный пакет | Libreoffice | Мойофис стандартный |
Почтовое приложение | клиент thunderbird Dovecot + postfix/exim |
Мойофис почта / communigate pro |
Интернет-браузер | Firefox / chromium | Яндекс. Браузер |
По системы электронного документооборота | Jboss | Ксэд 3.0 (крок) |
Но вернёмся к тому, что можно сделать уже сейчас.
С тем, что не взлетело на тестах, можно разобраться одним из нескольких способов:
— Перейти на веб-клиент (если есть и работает с чем-то, кроме IE).
— Попробовать запустить в WINE.
— Оставить без изменений и включить в ту долю лицензий, которую можно не замещать.
— Написать в Минкомсвязи про проблему и получить «добро» на сохранение ПО.
— Подобрать аналог и готовить проект по замене шила на совместимое мыло.
— Использовать терминалы, VDI или клиентскую виртуализацию.
Напоследок — несколько советов по тому, чего нельзя упускать:
— Информирование сотрудников о проекте. Пользователи будут выть, кричать и убиваться. Чем раньше и полнее вы их проинформируете и убедите в неизбежности проекта, тем лучше.
— Обучение ИТ-персонала. Иначе готовьтесь к обрыву телефона техподдержки. И никакие инструкции не помогут.
— Конвертация шаблонов офисных документов. Ни один из вариантов замен MS Office (будь то Libre Office или МойОфис) не отображает документов, созданных в MS Office, один в один. Так что обязательно выделите человека, который заранее организует публикацию новых шаблонов документов с вашими «шапками» и будет на подхвате во время глобальной миграции для залатывания дыр типа «у меня нет времени, а ваше … показывает …»
— Управление конфигурацией рабочих мест. В проекте вы можете практически не затрагивать серверную инфраструктуру. Единственный сервис, который вам обязательно потребуется заменить, кроме почты, — групповые политики MS AD. Без этого после обнаружения очередной ошибки и нахождения пути её решения придётся работать с каждым компьютером индивидуально.
— Терминальный доступ. В ходе проекта наверняка окажется, что вы забыли про какое-то важное приложение у нескольких пользователей. Терминальный доступ — это возможность потушить пожар и перенести решение проблемы на более позднее время, когда всё устаканится.
Ссылки
- Старый анализ ФЗ-188.
- Приказ №334 Минкомсвязи.
- Постановление №658 о централизованных закупках — последние изменения в сфере касаются того, что некоторые продукты рекомендуют закупать централизованно. Возможно, хотят сделать нечто похожее на SaaS — возможные отечественные облака.
- Реестр отечественного ПО.
- Реестр оборудования Минпромторга.
- Пример проекта импортозамещения, который мы реализовываем.
- Моя почта — ADonin@croc.ru