Импортозамещение ИБ — процесс комплексный и технически сложный. Он требует не только огромных финансовых затрат, но и основательной технической базы и глубокого анализа. Для компаний без собственной команды аутсорсинг ИБ и импортозамещение нередко становятся рабочей связкой: часть задач берут на себя внешние специалисты, а бизнес сохраняет темп перехода.
- Несовместимость. Использование отечественных средств защиты с иностранным ПО и оборудованием может привести к техническим проблемам и простою системы.
- Регуляторные требования. Частичная замена только одного компонента всей ИС не позволит в полном объеме выполнить требования законодательства в области импортозамещения.
- Отсутствие своевременного получения обновлений и техподдержки иностранного ПО и оборудования подрывает независимость и снижает эффективность любой системы защиты информации.
- Риски уязвимостей. Наличие уязвимостей в базовом ПО и оборудовании не всегда возможно устранить наложенными средствами защиты.
Разработчики средств защиты информации и основного ПО для ИС должны тесно взаимодействовать, чтобы снизить риски простоя банковских ИС. Наличие заключения о совместимости с ПО — важный критерий при выборе решения. Средства защиты не должны оказывать влияние на работу основных компонентов системы. Срок получения подтверждения отсутствия влияния учитывается при планировании импортозамещения ИБ.
Для корректного планирования закупки и внедрения требуется понимание сроков тестирования и получения заключения о совместимости.
Снижение рисков предполагает подбор альтернативных решений средств защиты. Приоритет получает решение, которое предоставляет наиболее убедительные доказательства отсутствия влияния на ИС и укладывается в запланированные сроки. В этот момент полезно заранее оценивать варианты импортозамещения ИБ и риски импортозамещения ИБ, а не ограничиваться одним вендором.
Нарушение сроков предоставления результатов тестирования говорит о проблемах у средства защиты. Дополнительное затраченное время говорит о том, что потребовалось устранять какие-либо проблемы в функционале.
Отсутствие заключения о совместимости нивелируется компетентным специалистом в организации, который также может протестировать решение на специальном стенде и сделать соответствующие выводы. Пробный период и/или демоверсия поможет сделать вывод о целесообразности покупки решения.
Импортозамещение — процесс поэтапный. Важно наличие возможности использования закупленных или планируемых к закупке средств защиты для защиты не только одного сегмента ИС или одной ИС. Кастомное средство защиты исключительно под определенный тип ИС — решение негибкое и экономически неэффективное. Возможность расширения функционала и покрытия ИС за счет дополнительных модулей и лицензий — ценное свойство средства защиты информации.
Важно учитывать сроки законодательства при планировании импортозамещения.