Что такое импортозамещение в ИТ


Совсем кратко пробегусь по основным вопросам для синхронизации.

1. Что такое отечественное ПО и оборудование?

С юридической точки зрения российскими считаются те продукты, чьё российское происхождение подтвердили в Министерстве цифрового развития и в Минпромторге соответственно включением в свои реестры.

С конца 2017 г. согласно постановлению Правительства РФ №1594 ПО стран ЕврАзЭс не подпадает под определение «иностранного», но пока реестра евразийского программного обеспечения нет, то и использовать, например, белорусское ПО в качестве импортозамещающего нельзя.

Сразу оговорюсь, что пост больше — про ПО.

2. А оно реально произведено в РФ с нуля?

В некоторых случаях — да. Например, решения от Kaspersky или Abbyy.

В других за основу взято свободное программное обеспечение (СПО), и к нему применены собственные разработки. Сюда можно отнести, например, большинство российских ОС, МойОфис Почта и Яндекс.Браузер. Это не обязательно плохо. По этому пути изначально шли, например, Nutanix и Zimbra. Главное — быть уверенными, что производитель не организовал «сборку» под единственный проект и планирует поддерживать решение в будущем.

Иногда возникают курьёзные случаи. Решение разработано в России, но продаётся через иностранную компанию. В этом случае, чтобы попасть в реестр, приходится организовывать отдельную российскую фирму и делать форк продукта под российский рынок. Преимущество таких решений — оперативная техническая поддержка третьего уровня, привыкшая к работе по западным стандартам.

3. А если этого ПО недостаточно?

В реестре отечественного ПО присутствуют операционные системы (ОС) на базе ядра Linux. У каждой из этих ОС есть свой репозиторий. Поскольку формально приложения входят в состав ОС, так же как и службы Windows, то они считаются российскими, и за их поддержку отвечает производитель ОС.

4. Есть ли альтернативы?

Есть СПО, о котором я уже говорил. Но имеются нюансы.

— Если под внедрение СПО вам потребуются бюджетные деньги, то нужно будет согласовать использование СПО, и придётся доказать, что оно соответствует видению Минкомсвязи.
— В некоторых случаях могут быть проблемы с бухгалтерией, с постановкой на баланс и закупкой поддержки пустого места.
— Будут сложности с аттестацией по требованиям ИБ (об этом — дальше).

5. Кому и зачем вообще нужно заниматься импортозамещением?

В первую очередь — госорганам, и в скором времени — компаниям с государственным участием. Задачу по импортозамещению перед ними ставит государство по понятным причинам:
— Перераспределение денежных средств (чтобы максимум средств оставался в стране).
— Защита от потенциальных закладок.
— Поддержка российских производителей.
— Защита от санкций.

Для госучреждений особенно важен факт подтверждения российского происхождения программ и оборудования. Для коммерческих организаций вопрос отказа от импортного коммерческого ПО тоже стоит, но по несколько другим причинам:

  1. Санкционные риски. Причём с обеих сторон. С одной стороны, например, Русал недавно попал под санкции, и правительство США всерьёз размышляет над полным запретом взаимной торговли. С другой, наше Правительство и само славится (а)симметричными «ответами Чемберлену». Пока коммерческим организациям удаётся закупать и использовать ПО по схеме аренды через облачного провайдера, но как долг�� это продлится, никто не знает.
  2. Экономия. Доллар растёт, а вместе с ним — и отчисления иностранным поставщикам. При этом под санкциями развиваются поддержка опенсорс-проектов, отечественное «форкостроение» и разработка. Появляется больше ИТ-специалистов, готовых работать с окружением Linux не в компаниях на 10 пользователей, а в крупных организациях с десятками и сотнями «дочек» и «внучек». То есть переход на опенсорс воспринимается уже не как «прыгаем в воду и пытаемся выплыть», а как «вот у тех двоих получилось, значит, и у нас получится».

Называть такой переход для коммерческих организаций импортозамещением некорректно, но подходы к реализации проектов по уходу с импортного проприетарного ПО будут совпадать.

Немного истории


В 2015 году мы оценивали ФЗ-188, который запрещает покупать софт на конкурсе, если у него есть отечественный аналог.

С тех пор произошло немного изменений:

  1. Реестр российского ПО появился и пополнился. Реестр сопровождается Минкомсвязи (теперь — Министерство цифрового развития, связи и массовых коммуникаций). Сейчас в нем более 4 600 наименований отечественных программ. Правда, классификация оставляет желать лучшего. Например, Яндекс.Браузер относится к категориям «Прикладное программное обеспечение общего назначения» (там же ещё — 800 пунктов) и «Офисные приложения» (200 пунктов). То есть найти ПО нужной категории можно только перебором. Критерии приёма в реестр, кстати, можно посмотреть тут.
  2. Идёт «война» с переменным успехом между госорганами, пытающимися обойти ограничения ФЗ-188 и закупить иностранный софт, используя пункт «обоснование невозможности соблюдения …», и поставщиками отечественного ПО. Первые придумывают всё новые обоснования. Вторые подают жалобы в ФАС и отменяют конкурс.
  3. Продукты из Евразийского экономического союза приравнены в приоритетах к тем, что находятся в реестре отечественного ПО. То есть казахстанский антивирус — брат русского антивируса. Но если вы вдруг нашли форк Linux производства Армении, то не спешите его ставить: ЕАЭС на текущий момент не имеет своего реестра, поэтому непонятно, какой софт местный, а какой — не местный. То есть, пока реестра не будет, доказать принадлежность ПО к ЕАЭС нельзя.
  4. Вышло Постановление Правительства РФ №968 от 26 сентября 2016 г., требующее исключать из конкурса поставщиков иностранного оборудования (согласно перечню), если в конкурсе участвуют два и более отечественных поставщика. Соответствующий реестр ведет Минпромторг.
  5. И главная тема второй половины этой статьи – Приказ №334 Минкомсвязи «Об утверждении методических рекомендаций по переходу федеральных органов исполнительной власти и государственных внебюджетных фондов на использование отечественного офисного программного обеспечения, в том числе ранее закупленного офисного программного обеспечения». Потом были изменения к приказу, и совсем недавно — его расширения на новые организации.

Аттестация по требованиям ИБ


Аттестация автоматизированной системы по требованиям безопасности информации нужна в тех случаях, когда эта система – ГИС, либо в ней ведётся работа с персональными данными.

Казалось бы, при чём тут импортозамещение? Если у вас есть пока неаттестованные системы и вы планируете заниматься импортозамещением, то это нужно учитывать, чтобы не выполнять аттестацию дважды. Проекты логично совмещать. Но, что важнее, возможность аттестации нужно прорабатывать заранее — на этапе планирования перехода на отечественное ПО. Особенно это касается операционной системы.

Бу��ете ли вы использовать сертифицированную ОС или ограничитесь навесными средствами ИБ.
Есть ли полный набор навесных средств защиты, подходящих под вашу модель угроз, для данной операционной системы.

Пример: если вы используете логин и пароль для входа в операционную систему, которая не серфтицирована ФСТЭК и на которой не стоит навесного ПО защиты пароля, то с точки зрения регуляторов у вас отсутствует требование ввода пароля, и вы можете зайти в ОС под любой ролью.

Навесные средства защиты могут снизить стабильность работы решения. Создатели ОС их очень не любят, поэтому обычно организуют сертификацию сами с использованием «правильных» костылей безопасности.

Для отдельной сертификации ФСТЭК, по сути, надо поддерживать отдельную линейку продуктов и обновлять её сертификаты раз в полгода. Хотя бы. Естественно, опенсорс-сообщества не стремятся лоббировать и оплачивать такие сертификации. Поэтому появляются коммерческие компании, которые обеспечивают сертификат и поддержку. И проще всего держать такую ветку оказывается производителю отечественной ОС.

План перехода


Вместе с приказом №334 Минкомсвязи предложило типовой план перехода на отечественное ПО для федеральных органов исполнительной власти и государственных внебюджетных фондов.
Если в 2015-м просто стало сложнее закупить новое ПО, то теперь от госорганов ожидают замену уже используемого. С одной стороны, это «рекомендации», с другой, Минкомсвязи контролирует как исполнение предоставленного плана, так и частично бюджеты на информатизацию.


ЦА – центральный аппарат, ТО – территориальный офис.

Буквально месяц назад вышел аналогичный приказ за номером 335 для органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления муниципальных образований Российской Федерации. В нем цифры немного поменьше.

Но посмотрим не на цифры, а на наименования. Несмотря на название «офисное программное обеспечение», сюда входит операционная система.

В Минкомсвязи просто отразили перечень программного обеспечения, которое гарантированно используется в любом государственном органе. Отсутствуют фактически только кадровая и финансовая системы. Зачастую они лежат в защищённо�� сегменте, где идёт обработка перс. данных. Возможно, тонкий намёк, что эту проблему можно оставить на потом, включив в оставшиеся 20%.

Пройдёмся по списку. Справочно-правовая сейчас — почти у всех: Гарант, Консультант или Кодекс, антивирус — Касперский, документооборот — тоже от одного из отечественных производителей. Остальное встроено в систему или нужно ставить внешнее. Интересный момент: ОС считается в количестве штук на компанию. И 80%, которые по итогам должны стать отечественными, включают и клиентские, и серверные в любой удобной вам пропорции.

Казалось бы, спасибо, государство. Куда бежать — понятно, план есть, список ПО в реестре есть, даже деньги, может, выделят в бюджете под такую активность. Но есть сложности:

  1. У вас есть сотрудники, которым нужен какой-то из ведомственных порталов с электронной подписью. Например, Госзакупки. Знаете, кто у нас до сих пор использует ActiveX? Никогда не догадаетесь. В общем, нужна импортная ОС Windows для работы.
  2. На некоторых рабочих местах наверняка установлено специально разработанное под вас ПО, работающее только с Windows.
  3. Еще хуже, если разработчик вашего документооборота не озаботился полноценным веб- клиентом. Только толстый клиент под Windows. Только хардкор.

Дальше можно:

  • Решить, что «проблемные» сотрудники попадут в те самые 20 % допустимых незамещённых лицензий и заместят остальных.
  • Или же написать письмо регулятору про то, что у вас есть задачи, которые не могут быть решены на отечественном ПО в принципе. Скорее всего, вам пойдут навстречу.
  • Комбинированный сценарий, когда доступ к проблемному ПО временно (Ау, создатели госзакупок!) осуществляется через терминальный доступ.

Но я видел и странные ситуации. Например, установку вторых ОС на те же рабочие места. Стоят одна Windows и один отечественный Linux. Пользователь на загрузке может выбирать ОС. Правда, на деле в отечественную ОС он не заходит совсем.

Еще более ленивый сценарий, когда «прокатывает» даже просто закупка лицензий. Факт закупки есть, а закупленное ранее импортное программное обеспечение переходит в разряд «трофейного» и продолжает использоваться.

Насколько я знаю (оценочное суждение), некоторых не штрафуют. Опять же, оценочное суждение в том, что мы уже видели, как такие законы внедряются. Скорее всего, всё идёт к тому, что придут потом с проверками. Посмотрят закупленные лицензии, сыгранные конкурсы, внедрённые проекты. То есть риски всё равно очень высоки.

План есть. Теперь нужен план реализации плана


Переходим к практической части. Задача — минимизировать риски и добраться до цели (реализация плана Правительства/Минкомсвязи) с минимальными потерями (функциональности, нервов, отношений коллег по работе ). Поэтому алгоритм такой:

  1. Выполнить анализ того, какие программы используются на местах. Анализ должен включать в себя как автоматизированный сбор данных с рабочих мест (старый добрый MS MAP, например), так и опрос техподдержки и подрядных организаций. Поддержка может что-то забыть, а MS MAP не найдет веб-сервисов и не скажет, насколько найденное ПО нужно пользователям. Тут же желательно собрать сведения по имеющейся периферии. Далеко не все сканеры и принтеры совместимы с Linux. Все нужно протестировать. Некоторые придётся заменить.
  2. Собрать отделы ИБ, ИТ и бизнес-приложений и понять, у кого какие ограничители. Я знаю случай, когда на готовое внедрение просто не встало выбранное ИБ VPN-решение по ОС. Стоит думать об этом заранее и тремя отделами.
  3. Тут же стоит подумать, как подсластить пользователям пилюлю. Дело в том, что раз уж меняется весь стек начиная с ОС, то надо воспользоваться ситуацией и поставить им разный новый отечественный или открытый софт. Например, в госкомпаниях очень радуются разрешённым мессенджерам. Раньше никакого не было, а теперь есть.
  4. Попробовать определиться с операционной системой. Если не получится сделать на этом шаге, стендов будет более одного.
  5. Составить список прикладного ПО и написать вендорам с вопросами про совместимость (у кого-то может оказаться отдельная линейка, у кого-то ожидается патч с поддержкой Linux, у кого-то — готовый набор настроек для WINE (эмулятор обработчика вызовов Windows).
  6. Собрать тестовый стенд и начать гонять на нём реальные проекты. На этой стадии может выясниться, что какой-то критичный функционал потерян, например, схемы инженеров не конвертируются в выбранный офисный пакет. Тестировать надо всё и вся. Вендоры обычно помогают на крупных инсталляциях сами, мы неоднократно заказывали патчи.
  7. Внедрять пилот после тестирования. Нужен реальный фидбэк от небольшого числа активных пользователей с разной спецификой работы. 10 человек будет достаточно. Вот наш пример после одного из пилотов: добавлены новые ярлыки на рабочий стол, и изменены имена старых, заменен графический редактор, переделана схема монтирования файловых ресурсов, исправлены ошибки работы WINE с некоторыми приложениями.
  8. По итогам пилота собрать образы рабочих мест и готовиться к тиражированию.
  9. Организовать обучение.
  10. И только теперь — внедрять.

При выборе стека ПО помните, что можно взять готовые из программы из репозитория ОС, а можете закупить соответствующее российское ПО. Примеры:
Компонент По из репозитория ос Специализированные по
Офисный пакет Libreoffice Мойофис стандартный
Почтовое приложение клиент thunderbird
Dovecot + postfix/exim		 Мойофис почта /
communigate pro
Интернет-браузер Firefox / chromium Яндекс. Браузер
По системы электронного документооборота Jboss Ксэд 3.0 (крок)
Кстати, на рынке есть инициатива по описанию уже готовых стеков отечественных продуктов — Ассоциация разработчиков программных продуктов «Отечественный софт». Планируется создание не только стека по основным прикладным задачам заказчиков, но и каталога для оперативного определения совместимости решений, которые входят в реестр отечественного ПО.

Но вернёмся к тому, что можно сделать уже сейчас.

С тем, что не взлетело на тестах, можно разобраться одним из нескольких способов:

— Перейти на веб-клиент (если есть и работает с чем-то, кроме IE).
— Попробовать запустить в WINE.
— Оставить без изменений и включить в ту долю лицензий, которую можно не замещать.
— Написать в Минкомсвязи про проблему и получить «добро» на сохранение ПО.
— Подобрать аналог и готовить проект по замене шила на совместимое мыло.
— Использовать терминалы, VDI или клиентскую виртуализацию.

Напоследок — несколько советов по тому, чего нельзя упускать:

— Информирование сотрудников о проекте. Пользователи будут выть, кричать и убиваться. Чем раньше и полнее вы их проинформируете и убедите в неизбежности проекта, тем лучше.
— Обучение ИТ-персонала. Иначе готовьтесь к обрыву телефона техподдержки. И никакие инструкции не помогут.
— Конвертация шаблонов офисных документов. Ни один из вариантов замен MS Office (будь то Libre Office ил�� МойОфис) не отображает документов, созданных в MS Office, один в один. Так что обязательно выделите человека, который заранее организует публикацию новых шаблонов документов с вашими «шапками» и будет на подхвате во время глобальной миграции для залатывания дыр типа «у меня нет времени, а ваше … показывает …»
— Управление конфигурацией рабочих мест. В проекте вы можете практически не затрагивать серверную инфраструктуру. Единственный сервис, который вам обязательно потребуется заменить, кроме почты, — групповые политики MS AD. Без этого после обнаружения очередной ошибки и нахождения пути её решения придётся работать с каждым компьютером индивидуально.
— Терминальный доступ. В ходе проекта наверняка окажется, что вы забыли про какое-то важное приложение у нескольких пользователей. Терминальный доступ — это возможность потушить пожар и перенести решение проблемы на более позднее время, когда всё устаканится.

Ссылки