Главная » Софт » Новый виток импортозамещения. Куда бежать и что делать?

Новый виток импортозамещения. Куда бежать и что делать?

Что такое импортозамещение в ИТ

Совсем кратко пробегусь по основным вопросам для синхронизации.

Что такое отечественное ПО и оборудование? 1.

С юридической точки зрения российскими считаются те продукты, чьё российское происхождение подтвердили в Министерстве цифрового развития и в Минпромторге соответственно включением в свои реестры.

согласно постановлению Правительства РФ №1594 ПО стран ЕврАзЭс не подпадает под определение «иностранного», но пока реестра евразийского программного обеспечения нет, то и использовать, например, белорусское ПО в качестве импортозамещающего нельзя. С конца 2017 г.

Сразу оговорюсь, что пост больше — про ПО.

А оно реально произведено в РФ с нуля? 2.

Например, решения от Kaspersky или Abbyy. В некоторых случаях — да.

Сюда можно отнести, например, большинство российских ОС, МойОфис Почта и Яндекс.Браузер. В других за основу взято свободное программное обеспечение (СПО), и к нему применены собственные разработки. По этому пути изначально шли, например, Nutanix и Zimbra. Это не обязательно плохо. Главное — быть уверенными, что производитель не организовал «сборку» под единственный проект и планирует поддерживать решение в будущем.

Решение разработано в России, но продаётся через иностранную компанию. Иногда возникают курьёзные случаи. Преимущество таких решений — оперативная техническая поддержка третьего уровня, привыкшая к работе по западным стандартам. В этом случае, чтобы попасть в реестр, приходится организовывать отдельную российскую фирму и делать форк продукта под российский рынок.

А если этого ПО недостаточно? 3.

У каждой из этих ОС есть свой репозиторий. В реестре отечественного ПО присутствуют операционные системы (ОС) на базе ядра Linux. Поскольку формально приложения входят в состав ОС, так же как и службы Windows, то они считаются российскими, и за их поддержку отвечает производитель ОС.

Есть ли альтернативы? 4.

Но имеются нюансы.
— Если под внедрение СПО вам потребуются бюджетные деньги, то нужно будет согласовать использование СПО, и придётся доказать, что оно соответствует видению Минкомсвязи.
— В некоторых случаях могут быть проблемы с бухгалтерией, с постановкой на баланс и закупкой поддержки пустого места.
— Будут сложности с аттестацией по требованиям ИБ (об этом — дальше). Есть СПО, о котором я уже говорил.

Кому и зачем вообще нужно заниматься импортозамещением? 5.

Задачу по импортозамещению перед ними ставит государство по понятным причинам:
— Перераспределение денежных средств (чтобы максимум средств оставался в стране).
— Защита от потенциальных закладок.
— Поддержка российских производителей.
— Защита от санкций. В первую очередь — госорганам, и в скором времени — компаниям с государственным участием.

Для коммерческих организаций вопрос отказа от импортного коммерческого ПО тоже стоит, но по несколько другим причинам: Для госучреждений особенно важен факт подтверждения российского происхождения программ и оборудования.

  1. Санкционные риски. Причём с обеих сторон. С одной стороны, например, Русал недавно попал под санкции, и правительство США всерьёз размышляет над полным запретом взаимной торговли. С другой, наше Правительство и само славится (а)симметричными «ответами Чемберлену». Пока коммерческим организациям удаётся закупать и использовать ПО по схеме аренды через облачного провайдера, но как долго это продлится, никто не знает.
  2. Экономия. Доллар растёт, а вместе с ним — и отчисления иностранным поставщикам. При этом под санкциями развиваются поддержка опенсорс-проектов, отечественное «форкостроение» и разработка. Появляется больше ИТ-специалистов, готовых работать с окружением Linux не в компаниях на 10 пользователей, а в крупных организациях с десятками и сотнями «дочек» и «внучек». То есть переход на опенсорс воспринимается уже не как «прыгаем в воду и пытаемся выплыть», а как «вот у тех двоих получилось, значит, и у нас получится».

Называть такой переход для коммерческих организаций импортозамещением некорректно, но подходы к реализации проектов по уходу с импортного проприетарного ПО будут совпадать.

Немного истории

В 2015 году мы оценивали ФЗ-188, который запрещает покупать софт на конкурсе, если у него есть отечественный аналог.

С тех пор произошло немного изменений:

  1. Реестр российского ПО появился и пополнился. Реестр сопровождается Минкомсвязи (теперь — Министерство цифрового развития, связи и массовых коммуникаций). Сейчас в нем более 4 600 наименований отечественных программ. Правда, классификация оставляет желать лучшего. Например, Яндекс.Браузер относится к категориям «Прикладное программное обеспечение общего назначения» (там же ещё — 800 пунктов) и «Офисные приложения» (200 пунктов). То есть найти ПО нужной категории можно только перебором. Критерии приёма в реестр, кстати, можно посмотреть тут.
  2. Идёт «война» с переменным успехом между госорганами, пытающимися обойти ограничения ФЗ-188 и закупить иностранный софт, используя пункт «обоснование невозможности соблюдения …», и поставщиками отечественного ПО. Первые придумывают всё новые обоснования. Вторые подают жалобы в ФАС и отменяют конкурс.
  3. Продукты из Евразийского экономического союза приравнены в приоритетах к тем, что находятся в реестре отечественного ПО. То есть казахстанский антивирус — брат русского антивируса. Но если вы вдруг нашли форк Linux производства Армении, то не спешите его ставить: ЕАЭС на текущий момент не имеет своего реестра, поэтому непонятно, какой софт местный, а какой — не местный. То есть, пока реестра не будет, доказать принадлежность ПО к ЕАЭС нельзя.
  4. Вышло Постановление Правительства РФ №968 от 26 сентября 2016 г., требующее исключать из конкурса поставщиков иностранного оборудования (согласно перечню), если в конкурсе участвуют два и более отечественных поставщика. Соответствующий реестр ведет Минпромторг.
  5. И главная тема второй половины этой статьи – Приказ №334 Минкомсвязи «Об утверждении методических рекомендаций по переходу федеральных органов исполнительной власти и государственных внебюджетных фондов на использование отечественного офисного программного обеспечения, в том числе ранее закупленного офисного программного обеспечения». Потом были изменения к приказу, и совсем недавно — его расширения на новые организации.

Аттестация по требованиям ИБ

Аттестация автоматизированной системы по требованиям безопасности информации нужна в тех случаях, когда эта система – ГИС, либо в ней ведётся работа с персональными данными.

Если у вас есть пока неаттестованные системы и вы планируете заниматься импортозамещением, то это нужно учитывать, чтобы не выполнять аттестацию дважды. Казалось бы, при чём тут импортозамещение? Но, что важнее, возможность аттестации нужно прорабатывать заранее — на этапе планирования перехода на отечественное ПО. Проекты логично совмещать. Особенно это касается операционной системы.

Будете ли вы использовать сертифицированную ОС или ограничитесь навесными средствами ИБ.
Есть ли полный набор навесных средств защиты, подходящих под вашу модель угроз, для данной операционной системы.

Пример: если вы используете логин и пароль для входа в операционную систему, которая не серфтицирована ФСТЭК и на которой не стоит навесного ПО защиты пароля, то с точки зрения регуляторов у вас отсутствует требование ввода пароля, и вы можете зайти в ОС под любой ролью.

Создатели ОС их очень не любят, поэтому обычно организуют сертификацию сами с использованием «правильных» костылей безопасности. Навесные средства защиты могут снизить стабильность работы решения.

Хотя бы. Для отдельной сертификации ФСТЭК, по сути, надо поддерживать отдельную линейку продуктов и обновлять её сертификаты раз в полгода. Поэтому появляются коммерческие компании, которые обеспечивают сертификат и поддержку. Естественно, опенсорс-сообщества не стремятся лоббировать и оплачивать такие сертификации. И проще всего держать такую ветку оказывается производителю отечественной ОС.

План перехода

Вместе с приказом №334 Минкомсвязи предложило типовой план перехода на отечественное ПО для федеральных органов исполнительной власти и государственных внебюджетных фондов.
Если в 2015-м просто стало сложнее закупить новое ПО, то теперь от госорганов ожидают замену уже используемого. С одной стороны, это «рекомендации», с другой, Минкомсвязи контролирует как исполнение предоставленного плана, так и частично бюджеты на информатизацию.


ЦА – центральный аппарат, ТО – территориальный офис.

В нем цифры немного поменьше. Буквально месяц назад вышел аналогичный приказ за номером 335 для органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления муниципальных образований Российской Федерации.

Несмотря на название «офисное программное обеспечение», сюда входит операционная система. Но посмотрим не на цифры, а на наименования.

Отсутствуют фактически только кадровая и финансовая системы. В Минкомсвязи просто отразили перечень программного обеспечения, которое гарантированно используется в любом государственном органе. данных. Зачастую они лежат в защищённом сегменте, где идёт обработка перс. Возможно, тонкий намёк, что эту проблему можно оставить на потом, включив в оставшиеся 20%.

Справочно-правовая сейчас — почти у всех: Гарант, Консультант или Кодекс, антивирус — Касперский, документооборот — тоже от одного из отечественных производителей. Пройдёмся по списку. Интересный момент: ОС считается в количестве штук на компанию. Остальное встроено в систему или нужно ставить внешнее. И 80%, которые по итогам должны стать отечественными, включают и клиентские, и серверные в любой удобной вам пропорции.

Куда бежать — понятно, план есть, список ПО в реестре есть, даже деньги, может, выделят в бюджете под такую активность. Казалось бы, спасибо, государство. Но есть сложности:

  1. У вас есть сотрудники, которым нужен какой-то из ведомственных порталов с электронной подписью. Например, Госзакупки. Знаете, кто у нас до сих пор использует ActiveX? Никогда не догадаетесь. В общем, нужна импортная ОС Windows для работы.
  2. На некоторых рабочих местах наверняка установлено специально разработанное под вас ПО, работающее только с Windows.
  3. Еще хуже, если разработчик вашего документооборота не озаботился полноценным веб- клиентом. Только толстый клиент под Windows. Только хардкор.

Дальше можно:

  • Решить, что «проблемные» сотрудники попадут в те самые 20 % допустимых незамещённых лицензий и заместят остальных.
  • Или же написать письмо регулятору про то, что у вас есть задачи, которые не могут быть решены на отечественном ПО в принципе. Скорее всего, вам пойдут навстречу.
  • Комбинированный сценарий, когда доступ к проблемному ПО временно (Ау, создатели госзакупок!) осуществляется через терминальный доступ.

Но я видел и странные ситуации. Например, установку вторых ОС на те же рабочие места. Стоят одна Windows и один отечественный Linux. Пользователь на загрузке может выбирать ОС. Правда, на деле в отечественную ОС он не заходит совсем.

Факт закупки есть, а закупленное ранее импортное программное обеспечение переходит в разряд «трофейного» и продолжает использоваться. Еще более ленивый сценарий, когда «прокатывает» даже просто закупка лицензий.

Опять же, оценочное суждение в том, что мы уже видели, как такие законы внедряются. Насколько я знаю (оценочное суждение), некоторых не штрафуют. Посмотрят закупленные лицензии, сыгранные конкурсы, внедрённые проекты. Скорее всего, всё идёт к тому, что придут потом с проверками. То есть риски всё равно очень высоки.

План есть. Теперь нужен план реализации плана

Переходим к практической части. Задача — минимизировать риски и добраться до цели (реализация плана Правительства/Минкомсвязи) с минимальными потерями (функциональности, нервов, отношений коллег по работе ). Поэтому алгоритм такой:

  1. Выполнить анализ того, какие программы используются на местах. Анализ должен включать в себя как автоматизированный сбор данных с рабочих мест (старый добрый MS MAP, например), так и опрос техподдержки и подрядных организаций. Поддержка может что-то забыть, а MS MAP не найдет веб-сервисов и не скажет, насколько найденное ПО нужно пользователям. Тут же желательно собрать сведения по имеющейся периферии. Далеко не все сканеры и принтеры совместимы с Linux. Все нужно протестировать. Некоторые придётся заменить.
  2. Собрать отделы ИБ, ИТ и бизнес-приложений и понять, у кого какие ограничители. Я знаю случай, когда на готовое внедрение просто не встало выбранное ИБ VPN-решение по ОС. Стоит думать об этом заранее и тремя отделами.
  3. Тут же стоит подумать, как подсластить пользователям пилюлю. Дело в том, что раз уж меняется весь стек начиная с ОС, то надо воспользоваться ситуацией и поставить им разный новый отечественный или открытый софт. Например, в госкомпаниях очень радуются разрешённым мессенджерам. Раньше никакого не было, а теперь есть.
  4. Попробовать определиться с операционной системой. Если не получится сделать на этом шаге, стендов будет более одного.
  5. Составить список прикладного ПО и написать вендорам с вопросами про совместимость (у кого-то может оказаться отдельная линейка, у кого-то ожидается патч с поддержкой Linux, у кого-то — готовый набор настроек для WINE (эмулятор обработчика вызовов Windows).
  6. Собрать тестовый стенд и начать гонять на нём реальные проекты. На этой стадии может выясниться, что какой-то критичный функционал потерян, например, схемы инженеров не конвертируются в выбранный офисный пакет. Тестировать надо всё и вся. Вендоры обычно помогают на крупных инсталляциях сами, мы неоднократно заказывали патчи.
  7. Внедрять пилот после тестирования. Нужен реальный фидбэк от небольшого числа активных пользователей с разной спецификой работы. 10 человек будет достаточно. Вот наш пример после одного из пилотов: добавлены новые ярлыки на рабочий стол, и изменены имена старых, заменен графический редактор, переделана схема монтирования файловых ресурсов, исправлены ошибки работы WINE с некоторыми приложениями.
  8. По итогам пилота собрать образы рабочих мест и готовиться к тиражированию.
  9. Организовать обучение.
  10. И только теперь — внедрять.

При выборе стека ПО помните, что можно взять готовые из программы из репозитория ОС, а можете закупить соответствующее российское ПО. Примеры:

Компонент

По из репозитория ос

Специализированные по

Офисный пакет

Libreoffice

Мойофис стандартный

Почтовое приложение

клиент thunderbird
Dovecot + postfix/exim

Мойофис почта /
communigate pro

Интернет-браузер

Firefox / chromium

Яндекс. Браузер

По системы электронного документооборота

Jboss

Ксэд 3.0 (крок)

Кстати, на рынке есть инициатива по описанию уже готовых стеков отечественных продуктов — Ассоциация разработчиков программных продуктов «Отечественный софт». Планируется создание не только стека по основным прикладным задачам заказчиков, но и каталога для оперативного определения совместимости решений, которые входят в реестр отечественного ПО.

Но вернёмся к тому, что можно сделать уже сейчас.

С тем, что не взлетело на тестах, можно разобраться одним из нескольких способов:

— Перейти на веб-клиент (если есть и работает с чем-то, кроме IE).
— Попробовать запустить в WINE.
— Оставить без изменений и включить в ту долю лицензий, которую можно не замещать.
— Написать в Минкомсвязи про проблему и получить «добро» на сохранение ПО.
— Подобрать аналог и готовить проект по замене шила на совместимое мыло.
— Использовать терминалы, VDI или клиентскую виртуализацию.

Напоследок — несколько советов по тому, чего нельзя упускать:

Пользователи будут выть, кричать и убиваться. — Информирование сотрудников о проекте. Иначе готовьтесь к обрыву телефона техподдержки. Чем раньше и полнее вы их проинформируете и убедите в неизбежности проекта, тем лучше.
— Обучение ИТ-персонала. Ни один из вариантов замен MS Office (будь то Libre Office или МойОфис) не отображает документов, созданных в MS Office, один в один. И никакие инструкции не помогут.
— Конвертация шаблонов офисных документов. В проекте вы можете практически не затрагивать серверную инфраструктуру. Так что обязательно выделите человека, который заранее организует публикацию новых шаблонов документов с вашими «шапками» и будет на подхвате во время глобальной миграции для залатывания дыр типа «у меня нет времени, а ваше … показывает …»
— Управление конфигурацией рабочих мест. Без этого после обнаружения очередной ошибки и нахождения пути её решения придётся работать с каждым компьютером индивидуально.
— Терминальный доступ. Единственный сервис, который вам обязательно потребуется заменить, кроме почты, — групповые политики MS AD. Терминальный доступ — это возможность потушить пожар и перенести решение проблемы на более позднее время, когда всё устаканится. В ходе проекта наверняка окажется, что вы забыли про какое-то важное приложение у нескольких пользователей.

Ссылки


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Из песочницы] Разбор Memory Forensics с OtterCTF и знакомство с фреймворком Volatility

Привет, Хабр! Именно ее я хочу разобрать в этом посте, всем кому интересно — добро пожаловать под кат. Недавно закончился OtterCTF (для интересующихся — ссылка на ctftime), который в этом году меня, как человека, достаточно плотно связанного с железом откровенно ...

Манекен на турбореактивно-электрическом коптере-гибриде

Очередное свидетельство, что 2019 год будет годом хайпа турбореактивных штуковин. Американский стартап ElectraFly и вояки в 2019 на ракетном полигоне в Юте планируют испытания индивидуального квадрокоптера с турбореактивным двигателем. При наборе высоты турбореактивный движок будет помогать винтам, а потом давать ...