Как импортозаместить ИБ: варианты для финтеха без команды

13.01.2023
09/07/26
Б-152
Как импортозаместить ИБ: варианты для финтеха без команды
Импортозамещение в финтехе активно развивается с 2022 года. В условиях давления санкций и требований регулятора наблюдается устойчивый темп. Для многих компаний импортозамещение в информационной безопасности уже стало практической задачей: финтех и российское ПО приходится рассматривать вместе, а ИБ-решения — оценивать не отдельно, а в связке с основной ИС.
По данным Минцифры на конец 2025 года, 43% банков внедрили отечественные системы управления базами данных, Сбербанк разработал собственную базу данных — Platform V Pangolin.
Основной фокус — импортозамещение основного ПО и оборудования, но не средств защиты. Из опыта, на текущий момент, у многих компаний на границах сети межсетевые экраны импортного производства, для защиты каналов связи используется иностранный VPN. На практике импортозамещение безопасности данных и импортозамещение кибербезопасности в таких компаниях часто отстают от замены основного ПО.

Нормативно-правовая база по импортозамещению финансового сектора

Отправной точкой для начала активного процесса импортозамещения в финансовом секторе являются указы Президента Р Ф от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» и от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

В области финансового сектора регулирование процесса по импортозамещению начинается со ст. 57.5−1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)». Здесь кибербезопасность и импортозамещение уже нельзя разводить по разным проектам: требования к устойчивости сектора и к защите данных идут параллельно.

Ключевые сроки по импортозамещению финансового сектора

Ключевыми датами импортозамещения в области финансового сектора являются:

  • 1 января 2025 г. — запрещается использовать иностранное программное обеспечение на принадлежащих значимых объектах КИИ, запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия.
  • 1 января 2030 г. — переход субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ.
  • 1 сентября 2025 г. — субъекты КИИ обязаны использовать программное обеспечение, включенное в Единый реестр российских программ для ЭВМ и баз данных, а также ПАК и средства защиты информации, соответствующие требованиям Правительства Р Ф.

2025 год уже прошел, но на текущий момент огромное количество организаций, функционирующих в финансовом секторе, не соответствуют требованиям законодательства РФ на 100%. Поэтому импортозамещение в информационной безопасности приходится планировать как отдельный контур работ.

Послабления от ЦБ РФ по вычету из капитала

Затраты финансовых организаций на ПО существенно выросли в последние годы на фоне необходимости импортозамещения. Доля нематериальных активов от капитала системно значимых банков увеличилась с 3,4% в 2020 году до 8,7% в 2024 году. ЦБ РФ предоставил послабления по вычету из капитала затрат на КИИ с целью снижения долгосрочных рисков в финсекторе. Мера должна помочь финсектору в выделении средств для дальнейшего импортозамещения без дополнительной нагрузки на капитал.
С чего начинать, если в компании есть подрядчики с доступом к ПДн, но непонятно, кто обработчик, кто оператор, а кто просто поставщик?
Лучше начинать не с шаблона договора, а с карты передач — разобрать модель передачи данных, проверить роли, договоры, субподрядчиков и доказательства контроля до аудита или инцидента.

Время воспользоваться послаблениями и сфокусировать внимание на технологической независимости

Импортозамещение ИБ — процесс комплексный и технически сложный. Он требует не только огромных финансовых затрат, но и основательной технической базы и глубокого анализа. Для компаний без собственной команды аутсорсинг ИБ и импортозамещение нередко становятся рабочей связкой: часть задач берут на себя внешние специалисты, а бизнес сохраняет темп перехода.

Процесс импортозамещения ИБ рекомендуется выполнять поэтапно. Критерии планирования импортозамещения:

  1. Сроки импортозамещения банковских информационных систем. Подбор средств защиты нецелесообразен, если не осуществлен и/или не запланирован переход ПО и оборудования основных банковских ИС.
  2. Возможность предварительного тестирования на стенде.
  3. Сроки проведения испытаний. Разработчики средств защиты должны взаимодействовать с разработчиками ПО банковских ИС.
  4. Масштабируемость. Возможность применения средств защиты не только под конкретную ИС.
  5. Наличие пробных периодов и/или демоверсий.
  6. Сроки законодательства.

Импортозамещение средств защиты информации нецелесообразно осуществлять без замены ПО и оборудования банковских ИС на отечественные аналоги. Причины необходимости согласования сроков:

  1. Несовместимость. Использование отечественных средств защиты с иностранным ПО и оборудованием может привести к техническим проблемам и простою системы.
  2. Регуляторные требования. Частичная замена только одного компонента всей ИС не позволит в полном объеме выполнить требования законодательства в области импортозамещения.
  3. Отсутствие своевременного получения обновлений и техподдержки иностранного ПО и оборудования подрывает независимость и снижает эффективность любой системы защиты информации.
  4. Риски уязвимостей. Наличие уязвимостей в базовом ПО и оборудовании не всегда возможно устранить наложенными средствами защиты.

Разработчики средств защиты информации и основного ПО для ИС должны тесно взаимодействовать, чтобы снизить риски простоя банковских ИС. Наличие заключения о совместимости с ПО — важный критерий при выборе решения. Средства защиты не должны оказывать влияние на работу основных компонентов системы. Срок получения подтверждения отсутствия влияния учитывается при планировании импортозамещения ИБ.

Для корректного планирования закупки и внедрения требуется понимание сроков тестирования и получения заключения о совместимости.

Снижение рисков предполагает подбор альтернативных решений средств защиты. Приоритет получает решение, которое предоставляет наиболее убедительные доказательства отсутствия влияния на ИС и укладывается в запланированные сроки. В этот момент полезно заранее оценивать варианты импортозамещения ИБ и риски импортозамещения ИБ, а не ограничиваться одним вендором.

Нарушение сроков предоставления результатов тестирования говорит о проблемах у средства защиты. Дополнительное затраченное время говорит о том, что потребовалось устранять какие-либо проблемы в функционале.

Отсутствие заключения о совместимости нивелируется компетентным специалистом в организации, который также может протестировать решение на специальном стенде и сделать соответствующие выводы. Пробный период и/или демоверсия поможет сделать вывод о целесообразности покупки решения.

Импортозамещение — процесс поэтапный. Важно наличие возможности использования закупленных или планируемых к закупке средств защиты для защиты не только одного сегмента ИС или одной ИС. Кастомное средство защиты исключительно под определенный тип ИС — решение негибкое и экономически неэффективное. Возможность расширения функционала и покрытия ИС за счет дополнительных модулей и лицензий — ценное свойство средства защиты информации.

Важно учитывать сроки законодательства при планировании импортозамещения.

Для успешного импортозамещения системы защиты банковских ИС характерны следующие этапы:

  1. Составление перечня всех ИС, которые обеспечивают выполнение бизнес-процессов.
  2. Ранжирование информационных систем в зависимости от критичности и важности с определением наиболее приоритетных систем для импортозамещения.
  3. Аналитика заменяемых компонентов: что можно заменить аналогом с российского рынка, а что нет.
  4. Планирование сроков импортозамещения ПО и оборудования банковских ИС, а также выбор разработчиков, подрядчиков и интеграторов.
  5. Переход к планированию импортозамещения системы защиты после понимания сроков и получения перечня организаций, которые будут участвовать в импортозамещении банковских ИС.
  6. Проведение инвентаризации всех программных и программно-аппаратных комплексов средств защиты информации.
  7. Составление плана с учетом сроков импортозамещения ПО и оборудования банковских ИС.
  8. Актуализация модели угроз, технического задания, технического проекта, рабочей и эксплуатационной документации, локальных нормативных актов.
  9. Осуществление взаимодействия с интеграторами основных ИС при выборе средств защиты информации. На данном этапе важно получение заключения о совместимости банковского ПО со средствами защиты информации.
  10. Учет срока тестирования вендорами и/или тестирования внутренним специалистом перед внедрением.
  11. Составление перечня оборудования и лицензий средств защиты информации для закупки.
  12. Обращение к вендорам и поставщикам оборудования и программного обеспечения для проверки корректности и понимания стоимости.
  13. Согласование бюджетов.
  14. Закупка и внедрение. На последнем этапе также необходимо предусмотреть тестирование и пилотное внедрение перед полномасштабным переходом.
  15. Проведение обучения для сотрудников, ответственных за обеспечение ИБ в организации.

Успешные кейсы

Откладывание перехода на отечественные решения повышает регуляторные и технологические риски. Чем больше спрос, тем больше предложение и выше конкуренция. Здоровая конкуренция повысит качество предлагаемых решений и улучшит функционал.

Одним из успешных кейсов внедрения отечественного решения является Dr. Web Security Suite. Продукты Dr. Web активно внедряются в том числе на оборудовании значимых объектов КИИ.

Многие организации, в том числе государственные и муниципальные, внедряют решения от ИнфоТеКС. Такие кейсы показывают, что отечественные системы защиты данных и отечественные продукты ИБ уже используются в крупных контурах. Это значит, что отечественные системы защиты данных, отечественные решения для финтеха и отечественные решения по информационной безопасности можно рассматривать не только как временную меру.

Сложности и риски импортозамещения в финансовом секторе

В процессе планирования требуется учет рисков и возможных сложностей на этапах внедрения.

  1. Финансовые ограничения. Тенденция импортозамещения набирает обороты. В ближайшее время изменение курса законодательства не планируется. Бюджет планируется на несколько лет вперед с учетом дополнительных рисков.
  2. Кадровый дефицит. Большое количество специалистов с 2022 г. уехало за пределы России. Потребности бизнеса растут быстрее рынка труда и возможностей образования. Организациям необходимо уделять внимание обучению сотрудников, ответственных за обеспечение ИБ, и администраторов.
  3. Высокая цена высокопроизводительного оборудования. Цена высокопроизводительного сервера исчисляется миллионами рублей. При выборе оборудования применяются принципы адекватности затрат, производительности и рисков. В качестве альтернативы может рассматриваться аренда в ЦОД.
  4. Рост кибератак. Количество обнаруженных кибератак и киберугроз на финансовый сектор в первом полугодии 2025 года увеличилось на 13% по сравнению с тем же периодом прошлого года. Импортозамещение можно рассматривать как одну из мер по противостоянию кибератакам. Российские решения для защиты данных дают гарантию своевременного получения критических обновлений и независимость от иностранных государств.
  5. Зависимость от поставщиков компонентов. Даже при использовании отечественного оборудования часто приходится полагаться на импортные комплектующие, что создает риски в случае изменения геополитической ситуации.
  6. Несовместимость. Результаты тестирования на стенде в идеальных условиях и тестирования в реальной ИС будут всегда разными. План внедрения должен учитывать временные риски и возможные проблемы совместимости.

Выбор подрядчиков и вендоров требует повышенного внимания, как и заключение договоров. Тестирование в реальных условиях может выявить проблемы в архитектуре и привести к перестройке основной системы.

Выбор российских средств защиты информации

На российском рынке представлены различные категории средств защиты информации. Основные категории средств защиты информации:

  1. средства обеспечения сетевой безопасности: межсетевое экранирование, системы обнаружения и предотвращения вторжений, криптографическая защита каналов связи;
  2. средства контроля и анализа защищенности;
  3. средства защиты от несанкционированного доступа;
  4. средства антивирусной защиты;
  5. средства мониторинга и анализа безопасности;
  6. средства обеспечения восстановления;
  7. средства криптографической защиты информации;
  8. средства контроля действия пользователей и предотвращения утечек данных.

Для понимания необходимости применения указанных категорий средств защиты информации требуется анализ слабых мест в ИС. Поможет процесс моделирования угроз и формирования модели угроз безопасности. Модель угроз поможет определить, какие меры необходимо применять для защиты и какие средства защиты целесообразно применять.

При выборе конкретных решений по обеспечению безопасности можно руководствоваться критериями:

  1. широкий функционал;
  2. стоимость;
  3. наличие или отсутствие сертификатов ФСТЭК и ФСБ;
  4. совместимость с ИС;
  5. удобство эксплуатации и возможность централизованного управления;
  6. репутация вендора;
  7. условия техподдержки;
  8. масштабируемость.

Подход к выбору лучше строить не по одному критерию, а по совокупности факторов. Если нужны российские аналоги ИБ решений, важно смотреть не только на цену, но и на совместимость, масштабируемость и качество сопровождения. Для крупных и средних банков российские решения по ИБ должны выдерживать и требования регулятора, и нагрузку реальных банковских ИС.

Импортозамещение ИБ — процесс долгий, поэтапный и сложный. Проектирование системы защиты информации всегда заключительный этап при строительстве объектов. Огромное количество рисков подлежит оценке в денежном и временном эквиваленте перед началом работ. Поэтому импортозамещение ИБ 2026 разумно планировать заранее: через пилоты, тестирование, закупки и поэтапный переход на российские средства информационной безопасности.
Материалы по теме