Можно ли защитить ИТ-инфраструктуру российского госоргана отечественными решениями по ИБ?

Вчера в Facebook зашла речь, в очередной раз, об импортозамещении в ИБ, которое, как прозвучало на одной из конференций в Питере, должно состояться вот уже через 2-3 года. Тут надо бы ответственно заявить, что говоря об импортозамещении, большинство экспертов делает классическую ошибку, считая, что выпуск отечественного аналога зарубежного продукта, — это и есть импортозамещение. Но увы… Даже если отбросить в сторону тот факт, что для нормального развития того или иного сегмента нужно более одного вендора и продукта, то выпуск (и снова отбросим в сторону, на этот раз, вопрос качества и функциональности отечественного продукта) российского решения еще не означает, что его выбрали заказчики. Вот когда российские компании, хотя бы госорганы и госкорпорации, перейдут на все эти домотканные МСЭ, СОВ/СОА, UEBA, SIEM и др., тогда и можно будет говорить об импортозамещении.

Но вернемся к версии апологетов импортозамещения, которые говорят, что в России есть хотя бы по одному, но аналогу, западным и восточным (мы же понимаем, что китайское — это тоже импорт) продуктам и поэтому можно говорить о том, что реально отечественный рынок готов заместить все иностранное. Ну давайте смотреть. Если ограничиться не всем российским рынков, а только госорганами, то я позволил себе выбрать несколько кейсов, для которых сегодня нет сертифицированных российских продуктов по защите информации (по аналогии с заметкой восьмилетней давности про СКЗИ):

• Работа на Macbook’ах
• Разграничение доступа в iSCSI и FC сетях
• Защита SAN
• Высокоскоростные магистрали и резервные каналы связи (40 Гбит/сек и выше)
• Виртуальные среды на базе KVM
• Доверенная загрузка на ноутбуках (тут возможно и есть что-то, но я с ходу не вспомнил)
• Регламентация и контроль беспроводного доступа
• Средства контроля целостности ПО (как минимум на Windows 10, где пока не работает ФИКС)
• Обманные системы (вроде как решение Кода безопасности больше не существует).

Это я привел неполный перечень тех иностранных решений, которые достаточно активно используются в российских организациях, и при этом не имеют отечественных средств защиты, имеющих сертификат ФСТЭК. А если в качестве основы взять организацию, которая прислушалась к мнению чиновников и действительно перешла на отечественные информационные технологии или open source:

• средства унифицированных коммуникаций iMind, Vinteo, TrueConf и др.
• open source платформы Hadoop, Spark, Elastic, Pentaho, MongoDB и др.
• параллельные СУБД InfiniDB, InfoBright и др.
• семейство Apache — Tomcat, Cassandra, Struts, Metron, HTTP Server и др.
• сервера приложений — WildFly, GlassFish и др.
• web-сервера — nginx и др.
• промышленные решения — Tibbo и др.
• электронный документооборот — Alfresco, Directum и др.

Вот я с ходу не вспомнил российских разработчиков, которые бы декларировали средства защиты для упомянутых решений, преимущественно защищая решения иностранные — Windows, Oracle, IBM и т.п. А уж сертифицированных решений для названных решений и вовсе нет.

Есть две стратегии — разработать решения по ИБ для того, что используется сейчас заказчиками, или заставить перейти на то, что смогли разработать российские вендоры (но в области ИБ, так как ИТ-вендоры не сильно заботятся о соответствии требованиям ФСТЭК). Первая стратегия правильнее, но более ресурсоемка как по деньгам, там и по времени. Вторая гораздо проще в реализации и именно ее сегодня реализуют, заставляя российские госорганы переходить на отечественные мобильные и настольные ОС (и это не iOS, Android или Windows), перелицованные open source ИБ-решения и т.п. И если госорганам деваться особо некуда — за пределы 17-го приказа, требующего сертификат ФСТЭК, особо не выйдешь, то у коммерческих структур выбора побольше и стоит 10 раз подумать, надо ли загонять себя в прокрустово ложе требования по сертификации, которое выполнить нельзя.

А как же быть, если нормативные акты требуют сертификации? Так не требуют. Нужна оценка соответствия, а это не только обязательная сертификация ФСТЭК. Вот о том, что это такое и почему в обозримом будущем в России будет все сложнее найти адекватное число сертифицированных средств защиты, мы и будем говорить в рамках вебинара, который пройдет 26 сентября в 11 по московскому времени. Все детали и ссылка на регистрацию тут.

UPDATE: В Твиттере меня коллеги поправили. ФИКС есть для Windows 10. Для ноутов есть модули m2 и UEFI для доверенной загрузке. Есть Аккорд для KVM. Гарда поддерживает PostgreSQL, Cassandra, Hadoop и HDP. Threat Deception есть у Лаборатории Касперского.