пр Импортозамещение в ИБ

РОССИЙСКАЯ АКАДЕМИЯ НАРОДНОГО

ХОЗЯЙСТВА И ГОСУДАРСТВЕННОЙ

СЛУЖБЫ

Экономический факультет

ШКОЛА IT-МЕНЕДЖМЕНТА

Курс: «Законодательство в ИБ» Импортозамещение

Прозоров Андрей, CISM

• Мой блог: 80na20.blogspot.com

• Мой твиттер: twitter.com/3dwave

2016-05

Импортозамещение — замещение импорта товарами, произведёнными внутри страны.

Для замещения импорта национальными товарами могут быть использованы протекционистские методы регулирования: тарифные, нетарифные.

МВА Информационная безопасность (CSO) 2

Противники Защитники

• «Запрет ограничит конкуренцию и, в перспективе, произойдет снижение качества ПО»

• «Кто хочет, тот и так все покупает»• «Наши ничего делать не умеют»• «Какое импортозамещение ПО без

импортозамещения аппаратной части?»• «Даже ракеты не летают, такую страну

развалили, и с импортозамещением не пройдет»

• «Развалили науку, сейчас уже не сделаем»• «Надо было раньше начинать, сейчас уже

проиграли Западу»• «А вы на какой машине ездите: отечественной

или импортной?» • «Импортозамещение не настоящее, просто

перешивают шильдики на западных продуктах»• «Это очередной распил и откат»• «Какое импортозамещение? Даже свой

автопром поднять не можем»

• «Это поднимет экономику»• «Уже есть успешные примеры, посмотрите на

ЛК, 1С»• «А вот в производстве оружия, атомной

промышленности и авастроении ведь можем! И с импортозамещение ПО справимся»

• «В России много хороших компаний и умных специалистов. Сможем импортозаместить все»

• «Нельзя тратить бюджетные деньги на иностранное ПО»

• «Дайте денег, мы все сделаем»• «С западным ПО есть проблемы из-за санкций

(например, в Крыму)»• «Нужна технологическая независимость»• «Нужно повышать обороноспособность»• «В иностранном ПО много закладок и

уязвимостей»• «Если не пытаться что-то исправить, то так и

будем «сидеть на игле» иностранных производителей»

• «В Китае смогли, и мы сможем»


Не будем говорить лозунгов…


Попробуем разобраться в сути…


Тема не нова...


Из Доктрины ИБ 2000

"Третья составляющая национальных интересов Российской

Федерации в информационной сфере включает в себя развитие

современных информационных технологий, отечественной

индустрии информации, в том числе индустрии средств

информатизации, телекоммуникации и связи, обеспечение

потребностей внутреннего рынка ее продукцией и выход этой

продукции на мировой рынок, а также обеспечение накопления,

сохранности и эффективного использования отечественных

информационных ресурсов. В современных условиях только на

этой основе можно решать проблемы создания наукоемких

технологий, технологического перевооружения

промышленности, приумножения достижений отечественной

науки и техники. Россия должна занять достойное место

среди мировых лидеров микроэлектронной и компьютернойпромышленности. …"

«Для достижения этого требуется:• развивать и совершенствовать инфраструктуру единого

информационного пространства Российской Федерации;• развивать отечественную индустрию информационных

услуг и повышать эффективность использованиягосударственных информационных ресурсов;

• развивать производство в Российской Федерацииконкурентоспособных средств и систем информатизации,телекоммуникации и связи, расширять участие России вмеждународной кооперации производителей этих средств исистем;

• обеспечить государственную поддержку отечественныхфундаментальных и прикладных исследований, разработокв сферах информатизации, телекоммуникации и связи."



"Угрозами развитию отечественной индустрии информации, включаяиндустрию средств информатизации, телекоммуникации и связи,обеспечению потребностей внутреннего рынка в ее продукции и выходу этойпродукции на мировой рынок, а также обеспечению накопления, сохранности иэффективного использования отечественных информационных ресурсовмогут являться:• противодействие доступу Российской Федерации к новейшим

информационным технологиям, взаимовыгодному и равноправномуучастию российских производителей в мировом разделении труда виндустрии информационных услуг, средств информатизации,телекоммуникации и связи, информационных продуктов, а также созданиеусловий для усиления технологической зависимости России в областисовременных информационных технологий;

• закупка органами государственной власти импортных средствинформатизации, телекоммуникации и связи при наличииотечественных аналогов, не уступающих по своим характеристикамзарубежным образцам;

• вытеснение с отечественного рынка российских производителей средствинформатизации, телекоммуникации и связи;

• увеличение оттока за рубеж специалистов и правообладателейинтеллектуальной собственности."



Доктрина утверждает перечень задач, требующих безотлагательногорешения:• обеспечение технологической независимости Российской

Федерации в важнейших областях информатизации,телекоммуникации и связи, определяющих ее безопасность, и впервую очередь в области создания специализированнойвычислительной техники для образцов вооружения и военнойтехники;

• разработка современных методов и средств защитыинформации, обеспечения безопасности информационныхтехнологий, и прежде всего используемых в системах управлениявойсками и оружием, экологически опасными и экономическиважными производствами;

Доктрина определяет одним из принципов государственной политики --"приоритетное развитие отечественных современныхинформационных и телекоммуникационных технологий,производство технических и программных средств, способныхобеспечить совершенствование национальныхтелекоммуникационных сетей, их подключение к глобальныминформационным сетям в целях соблюдения жизненно важныхинтересов Российской Федерации."




Стратегия развития отрасли ИТ в РФ на 2014 - 2020 годы и на перспективу до 2025 года

"Учитывая масштабы проникновения информационных технологий в повседневнуюжизнь граждан, организаций и органов власти всех уровней, а также высокий уровеньзависимости создаваемых в стране информационных систем от импортнойпродукции, особенно актуальным становится вопрос обеспечения должного уровняинформационной безопасности страны в современном глобальном информационноммире.В этих условиях необходимо предпринять меры, направленные на обеспечениеинформационной безопасности не только государственных органов власти, но идругих организаций и граждан, проживающих на территории России.Мерами долгосрочного характера являются:• ускоренное развитие производства отечественной продукции гражданского

назначения в целях формирования задела по самым перспективным направлениямразвития отрасли информационных технологий;

• разработка и запуск специальной программы импортозамещения продукциисферы информационных технологий для решения задач отдельныхгосударственных структур и организаций (в том числе оборонно-промышленного комплекса), включающей запуск разработки широкойноменклатуры продукции, обладающей высоким уровнем информационнойбезопасности;

• 740 млрд. рублей объем рынка ИТ

• 420 тыс. работников отрасли

• 5 788 ИТ-компаний, аккредитованных в Минкомсвязи России для применения преференций постраховым взносам и иных

• выручка от реализации российского ПО и баз данных(по данным Росстата,млрд. рублей):

• более 1 300 ИТ-компаний получили финансовую поддержку в объеме свыше 9 млрд. рублей за 2013-2015 годы


ИТ в РФ (рынок)

По данным Минэкономразвития, в 2015 году госсектор закупил ПО на 93,9 млрд рублей, госкомпании – на 118,4 млрд .

На импортное ПО в госсекторе пришлось 77% закупок (в денежном выражении) – 72 млрд рублей, на отечественное ПО – 21,9 млрд.


Количество контрактов на покупку российского софта выросло в 2015 году более чем вдвое.


13.04.2016 Минэкономразвитие РФ


Базовое ПО в органах гос.власти


Опрос компании «Код Безопасности» от 05.2015

Простой вопрос:

Как Вы считаете, для чего нужно импортозамещение в РФ?



Импортозамещение через призму ИБ


Импортозамещение –это не про ИБ, это про гос.закупки…


Никифоров Н.А.:"За бюджетные деньги не должно покупаться зарубежное программное обеспечение"


Про закупки для гос.нужд

• Федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в сферезакупок товаров, работ, услуг для обеспечения государственных имуниципальных нужд"

• Федеральный закон от 18.07.2011 N 223-ФЗ "О закупках товаров, работ, услуготдельными видами юридических лиц» (по этому ФЗ преференцийотечественному ПО нет)

• Постановление Правительства РФ от 28.11.2013 N 1085 "Об утверждении Правил оценкизаявок, окончательных предложений участников закупки товаров, работ, услуг дляобеспечения государственных и муниципальных нужд"

• Гражданский Кодекс РФ § 4. Поставка товаров для государственных или муниципальныхнужд (ст.525-534)

• Бюджетный Кодекс РФ Статья 72. Осуществление закупок товаров, работ, услуг дляобеспечения государственных (муниципальных) нужд

• КоАП Статья 7.29. «Несоблюдение требований законодательства Российской Федерациио контрактной системе в сфере закупок товаров, работ, услуг для обеспечениягосударственных и муниципальных нужд при принятии решения о способе и об условияхопределения поставщика (подрядчика, исполнителя)» и Статья 7.30. «Нарушение порядкаосуществления закупок товаров, работ, услуг для обеспечения государственных имуниципальных нужд»


Законы про импортозамещение

Федеральный закон от 29.06.2015 N 188-ФЗ "О внесении изменений вФедеральный закон "Об информации, информационных технологиях и о защитеинформации" и статью 14 Федерального закона "О контрактной системе в сферезакупок товаров, работ, услуг для обеспечения государственных имуниципальных нужд" (Начало действия документа - 01.01.2016):

• Про реестр российского ПО и критерии

• Про правки в 44-ФЗ: «устанавливаются запрет на допуск товаров,происходящих из иностранных государств, работ, услуг, соответственновыполняемых, оказываемых иностранными лицами, и ограничения допускауказанных товаров, работ, услуг для целей осуществления закупок»

Федеральный закон от 13 июля 2015 года N 227-ФЗ "О внесении изменений вФедеральный закон "О контрактной системе в сфере закупок товаров, работ,услуг для обеспечения государственных и муниципальных нужд"" (Началодействия документа - 15.08.2016)

• Про правки в 44-ФЗ: Требование к участникам закупки: участник закупки неявляется офшорной компанией


Ключевые регуляторы

Министерство экономического развитияРоссийской Федерации: регулированиеконтрактной системы в сфере закупок товаров,работ, услуг для обеспечения государственных имуниципальных нужд.

Министерство связи и массовых коммуникацийРоссийской Федерации: проведение экспертнойоценки документов и материалов, используемыхдля формирования и ведения Единого реестрароссийских программ для электронныхвычислительных машин и баз данных.

В целях расширения использования российскихпрограмм для электронных вычислительныхмашин и баз данных, подтверждения ихпроисхождения из Российской Федерации, атакже в целях оказания правообладателямпрограмм для электронных вычислительныхмашин или баз данных мер государственнойподдержки создается единый реестр российскихпрограмм для электронных вычислительныхмашин и баз данных (далее - реестр российскогопрограммного обеспечения).


Цель реестра ПО по 188-ФЗ

3. В целях защиты основ конституционного строя, обеспеченияобороны страны и безопасности государства, защитывнутреннего рынка РФ, развития национальной экономики,поддержки российских товаропроизводителей нормативнымиправовыми актами Правительства Российской Федерацииустанавливаются запрет на допуск товаров, происходящих изиностранных государств, работ, услуг, соответственновыполняемых, оказываемых иностранными лицами, иограничения допуска указанных товаров, работ, услуг для целейосуществления закупок.В случае, если указанными нормативными правовыми актамиПравительства Российской Федерации предусмотреныобстоятельства, допускающие исключения из установленных всоответствии с настоящей частью запрета или ограничений,заказчики при наличии указанных обстоятельств обязаныразместить в единой информационной системе обоснованиеневозможности соблюдения указанных запрета илиограничений.


Правки в 44-ФЗ по 188-ФЗ + цели


Критерии отечественного ПО (1)В реестр российского программного обеспечения включаются сведения о программах дляэлектронных вычислительных машин и базах данных, которые соответствуют следующимтребованиям:

1) исключительное право на программу для электронных вычислительных машин или базуданных на территории всего мира и на весь срок действия исключительного правапринадлежит одному либо нескольким из следующих лиц (правообладателей):

а) Российской Федерации, субъекту Российской Федерации, муниципальному образованию;

б) российской некоммерческой организации, высший орган управления которойформируется прямо и (или) косвенно Российской Федерацией, субъектами РоссийскойФедерации, муниципальными образованиями и (или) гражданами Российской Федерациии решения которой иностранное лицо не имеет возможности определять в силуособенностей отношений между таким иностранным лицом и российской некоммерческойорганизацией;

в) российской коммерческой организации, в которой суммарная доля прямого и (или)косвенного участия Российской Федерации, субъектов Российской Федерации,муниципальных образований, российских некоммерческих организаций, указанных вподпункте "б" настоящего пункта, граждан Российской Федерации составляет болеепятидесяти процентов;

г) гражданину Российской Федерации;

2) программа для электронных вычислительных машин или база данных правомерновведена в гражданский оборот на территории Российской Федерации, экземплярыпрограммы для электронных вычислительных машин или базы данных либо праваиспользования программы для электронных вычислительных машин или базы данныхсвободно реализуются на всей территории Российской Федерации;

3) общая сумма выплат по лицензионным и иным договорам, предусматривающимпредоставление прав на результаты интеллектуальной деятельности и средстваиндивидуализации, выполнение работ, оказание услуг в связи с разработкой, адаптацией имодификацией программы для электронных вычислительных машин или базы данных идля разработки, адаптации и модификации программы для электронных вычислительныхмашин или базы данных, в пользу иностранных юридических лиц и (или) физических лиц,контролируемых ими российских коммерческих организаций и (или) российскихнекоммерческих организаций, агентов, представителей иностранных лиц иконтролируемых ими российских коммерческих организаций и (или) российскихнекоммерческих организаций составляет менее тридцати процентов от выручкиправообладателя (правообладателей) программы для электронных вычислительных машинили базы данных от реализации программы для электронных вычислительных машин илибазы данных, включая предоставление прав использования, независимо от вида договораза календарный год;

4) сведения о программе для электронных вычислительных машин или базе данных несоставляют государственную тайну, и программа для электронных вычислительных машинили база данных не содержит сведений, составляющих государственную тайну.


Критерии отечественного ПО (2)

2. Правила формирования и ведения реестрароссийского программного обеспечения, составсведений, включаемых в реестр российскогопрограммного обеспечения, в том числе обоснованиях возникновения исключительного права управообладателя (правообладателей), условиявключения таких сведений в реестр российскогопрограммного обеспечения и исключения их изреестра российского программного обеспечения,порядок предоставления сведений, включаемых вреестр российского программного обеспечения,порядок принятия решения о включении такихсведений в реестр российского программногообеспечения устанавливаются Правительством РФ.


Из 188-ФЗ


1. Утвердить прилагаемые: • Правила формирования и ведения

единого реестра российских программ для электронных вычислительных машин и баз данных (далее - реестр);

• Порядок подготовки обоснования невозможности соблюдения запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд.

2. Установить запрет …

ПП №1236 от 16 ноября 2015

С 01.01.2016

2. Установить запрет на допуск программ для электронныхвычислительных машин и баз данных, реализуемых независимо от видадоговора на материальном носителе и (или) в электронном виде поканалам связи, происходящих из иностранных государств, а такжеисключительных прав на такое программное обеспечение и прависпользования такого программного обеспечения (далее - программноеобеспечение и (или) права на него), для целей осуществления закупокдля обеспечения государственных и муниципальных нужд, заисключением следующих случаев:а) в реестре отсутствуют сведения о программном обеспечении,соответствующем тому же классу программного обеспечения, что ипрограммное обеспечение, планируемое к закупке;б) программное обеспечение, сведения о котором включены в реестр икоторое соответствует тому же классу программного обеспечения, что ипрограммное обеспечение, планируемое к закупке, по своимфункциональным, техническим и (или) эксплуатационнымхарактеристикам не соответствует установленным заказчикомтребованиям к планируемому к закупке программному обеспечению.


Из ПП №1236 про запрет закупок

3. Запрет, предусмотренный пунктом 2 настоящегопостановления, не распространяется на осуществлениезакупок программного обеспечения и (или) прав на негодипломатическими представительствами и консульскимиучреждениями Российской Федерации, торговымипредставительствами Российской Федерации примеждународных организациях для обеспечения своейдеятельности на территории иностранного государства.

4. Настоящее постановление не распространяется наосуществление закупок программного обеспечения и (или)прав на него, сведения о котором и (или) о закупке которогосоставляют государственную тайну.


Из ПП №1236 про запрет закупок


Обоснованность гос.закупок иностранного ПО

Экспертный центр электронного государства,

05-2016

3.Обоснование должно содержать указание на:а) обстоятельство, предусмотренное подпунктом "а" или "б" пункта 2 настоящегоПорядка;б) класс (классы) программного обеспечения, которому (которым) должносоответствовать программное обеспечение, являющееся объектом закупки;в) требования к функциональным, техническим и эксплуатационнымхарактеристикам программного обеспечения, являющегося объектом закупки,установленные заказчиком, с указанием класса (классов), которому (которым)должно соответствовать программное обеспечение;г) функциональные, технические и (или) эксплуатационные характеристики (в томчисле их параметры), по которым программное обеспечение, сведения окотором включены в реестр, не соответствует установленным заказчикомтребованиям к программному обеспечению, являющемуся объектом закупки, покаждому программному обеспечению (с указанием названия программногообеспечения), сведения о котором включены в реестр и которое соответствуеттому же классу программного обеспечения, что и программное обеспечение,являющееся объектом закупки (только для закупки в случае, предусмотренномподпунктом "б" пункта 2 настоящего Порядка).


Про обоснование из ПП 1236

4.Обоснование подготавливается и утверждается заказчикомпо состоянию на день размещения извещения обосуществлении закупки в единой информационной системев сфере закупок.

5.Обоснование размещается заказчиком в единойинформационной системе в сфере закупок в порядке,устанавливаемом Правительством Российской Федерации.

6.Размещение обоснования в единой информационнойсистеме в сфере закупок осуществляется заказчикомодновременно с размещением извещения об осуществлениизакупки.


Про обоснование из ПП 1236

1. Полностью отечественный софт (из реестра)

2. ПО с открытым исходным кодом

3. Остальное (включая иностранное коммерческое ПО)


Приоритет при закупках


https://reestr.minsvyaz.ru/

https://reestr.minsvyaz.ru/

а) порядковый номер реестровой записи;б) дата формирования реестровой записи; в) название программного обеспечения; г) предыдущие и (или) альтернативные названия программного обеспечения (при наличии); д) код (коды) продукции в соответствии с Общероссийским классификатором продукции по видам экономической деятельности; е) сведения о правообладателях программного обеспеченияж) адрес страницы сайта правообладателя в информационно-телекоммуникационной сети "Интернет", на которой размещена документация, содержащая описание функциональных характеристик программного обеспечения и информацию, необходимую для установки и эксплуатации программного обеспечения; з) сведения об основаниях возникновения у правообладателя (правообладателей) исключительного права на программное обеспечение на территории всего мира и на весь срок действия исключительного права; и) дата государственной регистрации и регистрационный номер программного обеспечения (при наличии)к) класс (классы) программного обеспечения, которому (которым) соответствует программное обеспечение; л) дата и номер решения уполномоченного органа о включении сведений о программном обеспечении в реестр;м) сведения о дате и содержании изменений, внесенных в реестр (при наличии).


Запись в реестре


Пример записи в реестре…

д) соответствие программного обеспечения требованиямбезопасности информации подтверждено сертификатом системысертификации средств защиты информации по требованиямбезопасности информации, выданным в порядке, установленномПравительством Российской Федерации (только для программногообеспечения, в составе которого реализованы функции защитыконфиденциальной информации);е) исключительное право на программное обеспечение натерритории всего мира и на весь срок действия исключительногоправа принадлежит лицам (правообладателям), указанным вабзацах пятом - седьмом подпункта "а" настоящего пункта,имеющим лицензию на осуществление деятельности поразработке и производству средств защиты конфиденциальнойинформации (только для программного обеспечения, в составекоторого реализованы функции защиты конфиденциальнойинформации).


Дополнительные требования про сертификацию ПО по ПП1236

• Требований по наличию сертификатов нет в 188-ФЗ (хотя по закону в ПП могути быть дополнительные требования).

• Эти требования не нужны для реализации целей реестра (ну, иимпортозамещения).

• В ПП1236 отсутствует требование предоставить подтверждающуюинформацию.

• Отсутствуют соответствующие поля в заявке на регистрацию ПО в реестре.• Сертификат выдается на конкретную версию ПО, но в реестре версия может

(и обычно) не указывается. Предполагается, что при обновлении ПО запись онем в реестре не изменится.

• Требование по наличию сертификатов и так должны выполнять принеобходимости, например, по Приказу ФСТЭК России №17.

• Требование не конкретное (не соответствует аналогам в РД и ГОСТах), егоможно трактовать так:

– Практически все ПО (даже, CRM, бухгалтерское и пр.) должно обладать сертификатом,ведь в нем есть функционал разграничения прав доступа (логин/пароль).

– Ни одно ПО не должно обладать сертификатом, т.к. термин «функции защитыконфиденциальной информации» не определен в явном виде.

– Сертификатом должны обладать только СЗИ. Но вот тогда еще вопрос: а SIEM, IDM, DLPбез блокировки – это СЗИ?


Проблема…

Разъяснения Минкомсвязи России о применении реестра российского ПО

государственными и муниципальными заказчиками в части соблюдения требований по

защите информации


http://arppsoft.ru/news/4/7104/

http://arppsoft.ru/news/4/7104/

• Обсуждается вопрос об исключении этих требований изПП1236 (они избыточные и не соответствуют целямреестра).

• Критерий «наличие сертификата» не является«блокирующим» для попадания в реестр по мнениюМинкомсвязь России.

• Сейчас (и видимо, впредь) в реестр вносят ПО и безсертификата.

• Обсуждается вопрос о внесении в реестрдополнительного поля «наличие сертификата» (ссылка).


Итого про сертификацию


https://reestr.minsvyaz.ru/news/58194/

Как внести программный продукт в реестр российского ПО –http://d-russia.ru/kak-vnesti-programmnyj-produkt-v-reestr-rossijskogo-po.html

https://reestr.minsvyaz.ru/news/58194/

http://d-russia.ru/kak-vnesti-programmnyj-produkt-v-reestr-rossijskogo-po.html

http://d-russia.ru/kak-vnesti-programmnyj-produkt-v-reestr-rossijskogo-po.html


Заявление в реестр стр.1-2


Заявление в реестр стр.3-4


20 человекПредседатель – Министр связи и массовых коммуникаций РФОт отрасли ИТ:1. Андрианов Д.Л. (генеральный директор ПРОГНОЗ)2. Варов К.А. (управляющий директор Диасофт

Платформа)3. Василенко Е.М. (исполнительный директор АРПП

"Отечественный софт")4. Голиков А.В. (председатель совета директоров АСКОН)5. Дырмовский Д.В. (генеральный директор Центр

Речевых Технологий)6. Касперская Н.И. (генеральный директор группы

компаний InfoWatch)7. Макаров В.Л. (Президент НР «РУССОФТ»)8. Нуралиев Б.Г. (директор 1С)9. Смирнов А.В. (генеральный директор Альт Линукс)10. Суркис А.С. (председатель совета директоров Рэйдикс)

Экспертный совет


Задачи экспертного совета

Никифоров Н.А.: «Нужно воздержаться от включения в реестр спорных позиций — ведь это реестр именно российского ПО, и совершенно точно не “клонов” иностранного ПО или части их ключевых компонентов. В случае если заявленное ПО содержит компоненты иностранных продуктов, отвечающие за ключевой функционал, то эксперты вправе отказать во включении такого продукта в реестр. Также важно учитывать возможность свободного обращения программ на всей территории РФ».



Могут исключить из реестра…

10. Решение об отказе во включении в реестр российского программного обеспечения программ для электронных вычислительных машин или баз данных может быть обжаловано правообладателем программы для электронных вычислительных машин или базы данных в суд в течение трех месяцев со дня получения такого решения.


Из 188-ФЗ

Приказы Минкомсвязи России «О включении сведений о программном обеспечении в единый реестр российских программ для электронных вычислительных машин и баз данных»:

• …

• от 18.04.2016 №165

• от 08.04.2016 №151

• от 04.04.2016 №138

• от 22.03.2016 №117

• от 18.03.2016 №112

• от 29.01.2016 №19


1. ООО "АЙДЕКО"2. ЗАО "Аладдин Р.Д.»3. ООО «Альт Линукс»4. ООО "А-Реал Консалтинг"5. ООО "ВАС ЭКСПЕРТС"6. ООО "ГАЗИНФОРМСЕРВИС"7. ЗАО "ДИДЖИТАЛ ДИЗАЙН"8. ООО "Доктор Веб»9. ООО "Инновационные

технологии"10. ООО "Иновентика технолоджес"11. ООО "ИНТЕЛЛЕКТУАЛЬНЫЙ

РЕЗЕРВ"12. АО "ИНФОВОТЧ»13. ЗАО "ИНФОРМАЦИОННАЯ

ВНЕДРЕНЧЕСКАЯ КОМПАНИЯ"14. ООО "КОД БЕЗОПАСНОСТИ»15. ООО "КОМПАНИЯ "ТЕНЗОР"16. ООО "КОНФИДЕНТ"


Первые отечественные вендоры17. ООО "КРИПТОКОМ»18. ООО "КРИПТО-ПРО"19. АО "ЛАБОРАТОРИЯ КАСПЕРСКОГО»20. ООО "МФИ Софт»21. АО "НАУЧНО-ПРОИЗВОДСТВЕННОЕ

ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ"

22. ЗАО «Научно-производственное объединение «Эшелон»

23. ЗАО "Национальный удостоверяющий центр"

24. ООО "НЕТВОРК ПРОФИ»25. ООО "СБЕ-Групп»26. ООО "СМАРТ-СОФТ»27. ООО "СОЛАР СЕКЬЮРИТИ»28. ООО "ТрастВерс»29. ООО «Триметр»30. ООО "Цифровые технологии»31. АО "ЭЛВИС-ПЛЮС»32. ООО "ЭЛЕКТРОННЫЕ ОФИСНЫЕ

СИСТЕМЫ (СОФТ)"На 12.05.2016


Тип В реестре Подали заявку

АВЗ Dr.Web, Kaspersky Антивирус ИСЕТ

DLP InfoWatch Traffic Monitor, LanAgent, Kaspersky DLP

Solar Dozor, Zecurion DLP Enterprise RV, КИБ Серчинформ,Гарда Предприятие

SIEM KOMRAD Enterprise SIEM (Эшелон) MaxPatrol SIEM

Анализ кода Solar inCode, АК-ВС 2 (Эшелон),IRIDA Sources (Газинформсервис)

InfoWatch Appercut, Positive Technologies Application Inspector

IDM Solar inRights, КУБ (ТрастВерс) Avanpost IDM

СЗИ от НСД /Доверенная загрузка

Secret Net, Блокхост-МДЗ (Газинформсервис), МДЗ-Эшелон, Dallas Lock 8.0-C (Конфидент), ПАК Соболь

Управление уязвимостями

Сканер-ВС (Эшелон) MaxPatrol, xSpider, RedCheck(АЛТЭКС-СОФТ)

VPN Континент ViPNet Coordinator

FW Рубикон (Эшелон), TrustAccess (Код безопасности), МЭ ИКС (А-РеалКонсалтинг), ИВК КОЛЬЧУГА (Информационная внедренческая компания), Интернет Контроль Сервер(А-Реал Консалтинг)

На 12.05.2016 в реестре 121 наименование ПО в классе

«Средства обеспечения ИБ»


http://www.kommersant.ru/doc/2961068

Ну-ну…

http://www.kommersant.ru/doc/2961068

• Процедура попадания очень неспешная, но довольно простая…• Сайт работает стабильно ))• Слишком верхнеуровневые категории:

– Средства обеспечения ИБ– Системы анализа исходного кода на закладки и уязвимости – Системы управления процессами организации– Системы мониторинга и управления…

• Нет подклассов СЗИ, как найти все альтернативы?• Поиск практически не работает (прямой, по альтернативному

названию, по функционалу, типу СЗИ, по компании)• В перспективе:

– Добавят перечень иностранных аналогов– Пересмотрят подход к информации о сертификации СЗИ и добавят

ссылки на сертификаты ФСТЭК России, ФСБ России– Уберут класс «системы анализа исходного кода на закладки и

уязвимости»– Доработают поиск (надеюсь)


Про реестр ПО


Реестр – это сортировка…«Наши» и «Другие»


Битва уже началась…

http://www.rbc.ru/technology_and_media/18/05/2016/573c5c859a7947203a54f80f


• ГАС «Правосудие» провела тендер, начальная цена которого составила более 700млн руб., из них на 220 млн руб. организация закупила лицензии на софт Windowsи Microsoft Office для 10 тыс. пользователей, рассказала Василенко. Тендер былобъявлен 5 апреля 2016 года. Лишь спустя шесть дней ГАС объяснила выборзарубежного ПО, сославшись на то, что в реестре отечественного софта в классах«офисные приложения» и «операционные системы» нет российских программныхпродуктов, хотя они там были, подчеркнула Василенко. 15 апреля ГАС опубликовала двановых обоснования, где признала, что российские продукты в этих категориях есть,но организация не может их закупить, так как они не совместимы с ужеустановленными продуктами Microsoft (операционная система Windows Professional),следует из документации тендера.

• Заказчиком второго тендера на закупку программ Microsoft более чем на 25млн руб. является Росреестр. Заказчик опубликовал обоснование выбора иностранныхпродуктов, но в обосновании указал, что не может определить класс софта из-за отсутствия классификатора. Василенко отметила, что классификатор на моментобъявления тендера уже был опубликован на сайте реестра отечественного софта.Представитель Росреестра заверил, что системы организации, в которых «активноиспользуется программное обеспечение Microsoft», будут выведены из эксплуатациив 2017 году.





http://www.comnews.ru/content/102077/2016-05-19/sovfed-poprosit-fas-razobratsya-s-zakupkami-inostrannogo-po

http://www.comnews.ru/content/102077/2016-05-19/sovfed-poprosit-fas-razobratsya-s-zakupkami-inostrannogo-po


ИБ-компании – слишком мелкие игроки; основные герои импортозамещения другие…

• Расширение области действия 188-ФЗ (не только 44-ФЗ, но и 223-ФЗ)• «Рекомендовано» - «Строго рекомендовано» - «Запрет».

(1я очередь: СЭД, бухгалтерских и кадровых систем для гос.органов)• Реестр сетевого оборудования и «запрет» иностранного• Пересмотр критериев отечественного ПО (дополнительные критерии

«российского ПО», отказ от сертификации и лицензирования дляСЗИ)

• Расширение экспертного совета• Развитие реестра ПО• Ожидаем появление Центра компетенций по импортозамещению• Преференции российским разработчикам (из реестра):

– Продление страховых льгот (до 14% вместо 34% от ФОТ)– Продолжение продажи ПО без НДС– Финансовая и нефинансовая поддержка


Что дальше? (варианты)

• Фин.поддержка:– Гранты на софинансирование по разработке

общесистемного ПО

– Заемное финансирование проектов по разработке и финансированию ПО

• Нефинансовая поддержка – Организация мероприятий по поддержке

экспорта российского ПО

– Формирование центра компетенций по импортозамещению


5 млрд.рублей гос.поддержки


Ассоциации производителей

• Экспертный центр Электронного государства: http://d-russia.ru/category/importozameshhenie

• Заметки в моем блоге: http://80na20.blogspot.ru/search/label/Импортозамещение

• Реестр российского ПО – инструкция для госзаказчиков: http://d-russia.ru/reestr-rossijskogo-po-instrukciya-dlya-goszakazchikov.html

• Статья "Импортозамещение без эмоций" (Рустем Хайретдинов): http://www.allcio.ru/business/it/83838.html


Толковые материалы по теме

http://d-russia.ru/category/importozameshhenie

http://80na20.blogspot.ru/search/label/Импортозамещение

http://d-russia.ru/reestr-rossijskogo-po-instrukciya-dlya-goszakazchikov.html

http://www.allcio.ru/business/it/83838.html

«Возможности тех, кто производит такой продукт -национальных производителей, -очень большие. Поэтому я прошу руководство правительства сориентировать представителей государства в компаниях с госучастием, чтобы они ориентировались на принимаемые решения в первом полугодии текущего года в качестве рекомендации, а во втором пускай уже переходят на отечественного производителя»31.03.2016



Спасибо за внимание!

Прозоров Андрей, CISM

Мой блог: 80na20.blogspot.com

Мой твиттер: twitter.com/3dwave

Моя почта: [email protected]

пр Импортозамещение в ИБ

Technology