Вопросом импортозамещения мы почему-то озаботились лишь после ярко выраженных выпадов со стороны западных стран, которые являются основными производителями и поставщиками информационных технологий. И остается только гадать, как далеко готовы зайти наши оппоненты: запретят ли продажу технологий, ограничат ли их поддержку или просто усложнят процедуры приобретения и ввоза в Россию.
Положим, оборудование действительно по большей части можно заменить на аналоги от российских и азиатских производителей. Качество и совместимость этих аналогов — серьёзная тема для отдельной статьи. Но как быть с программным обеспечением? Идея использовать свободно распространяемое ПО вызывает у экспертов только смех: местонахождение бесплатного сыра известно давно.
Для того чтобы использовать свободно распространяемое программное обеспечение, необходимо как минимум создать в стране центры компетенции по нему.
Но есть и обратная сторона санкций — так называемые «контрсанкции». Может оказаться, что наши западные друзья не будут вводить для нас технологических ограничений, а вот российские чиновники использование иностранных технологий запретят. Такие призывы уже не раз звучали (правда, из уст людей, явно не разбирающихся в предмете обсуждения) вкупе с патетическими заявлениями о том, что мы вполне сможем обойтись без западных технологий, создав специальные ведомства, курирующие развитие ИТ, и быстро разработать свои операционные системы… Совершенно очевидно, что для того чтобы получить эффект сейчас, развивать информационные технологии нужно было последние лет десять-пятнадцать как минимум.
На скорую отмену санкций, увы, рассчитывать тоже не приходится — в истории неизвестны случаи, когда США отменяли бы санкции, введенные ими. Исключение составляют разве что Ирак и Афганистан, но в их случае санкции отменялись после силового установления проамериканской власти в этих странах.
Некоторые мои коллеги начали бесконечный процесс поиска замещающих технологий. Бесконечным процесс является потому, что, повторюсь, программное обеспечение замещать практически нечем. Другие убеждены, что санкции их не коснутся.
Между тем вместо ожидания грома в виде ужесточения санкций или запрета на использование импортных информационных технологий есть набор несложных шагов, которые позволят оценить, каким образом санкции повлияют на вашу организацию, и принять меры уже сейчас.
Шаг первый: структурирование ИТ-ландшафта
Первым делом необходимо провести структурирование и актуализацию информации об используемых на предприятии информационных технологиях. Действие несложное, тем более что у большинства компаний эта информация в том или ином виде уже есть. Наиболее простой и понятной является неиерархическая структура в следующем разрезе:
- платформы прикладного программного обеспечения;
- системное программное обеспечение;
- вычислительная инфраструктура;
- телекоммуникационная инфраструктура;
- программное обеспечение рабочих мест пользователей;
- оборудование рабочих мест пользователей;
- оргтехника.
Шаг второй: определение рисков для компонентов ИТ-ландшафта
Далее необходимо сформировать перечень связанных с санкциями рисков, для которых можно вводить числовые коэффициенты значимости. Примеры некоторых рисков перечислены ниже:
- ограничения (запрет) на использование импортных технологий со стороны регуляторов РФ;
- запрет на ввоз технологий в РФ (санкции);
- прекращение технической поддержки;
- кража информации.
Шаг третий: оценка угроз для компонентов ИТ-ландшафта
Можно провести качественную оценку угроз для компонентов ИТ-ландшафта (например, «Отсутствует», «Низкая», «Средняя», «Высокая»), но затем всем выбранным качественным критериям необходимо присвоить числовые значения.
С целью оценки угроз введем для компонентов параметр Тк, значение которого будет равно максимальному значению угрозы для компонента. В нашем случае Tк может принимать значение в диапазоне [0; 3].
Шаг четвертый: оценка вероятности рисков
Поскольку речь идет о санкциях, то вероятность рисков можно оценить, определив принадлежность производителей информационных технологий к тем или иным странам, например:
- «отсутствует» — для России или свободно распространяемого программного обеспечения;
- «низкая» — производители из стран, не присоединившихся к санкциям и входящих в политические и экономические блоки с Россией;
- «средняя» — производители из стран, не присоединившихся к санкциям, но не входящих в политические и экономические блоки с Россией;
- «высокая» — производители из стран, присоединившихся к санкциям (США, Германия).
Как и на предыдущем шаге, всем качественным критериям вероятности присваиваем числовые значения.
С целью оценки вероятности рисков введем для компонентов параметр Pк, значение которого будет равно максимальному значению вероятности риска для данного компонента. В нашем случае Pк может принимать значение в диапазоне [0; 3].
Шаг пятый: оценка рисков для компонентов
Числовым значением риска для каждого компонента будет произведение угрозы для данного компонента и вероятности риска для него же:
Rк = Tк × Pк
где Rк — риск для компонента; может принимать значение в диапазоне [0; 9].
Приоритетными областями реагирования являются компоненты с Rк = 9.
Шаг шестой: оценка рисков прикладных приложений
Теперь, когда у нас оценены риски для компонентов ИТ-ландшафта, необходимо оценить риски и для прикладных приложений.
Для этого определим степень критичности приложений в нашей организации. Степень критичности можно оценивать экспертно (критично — не критично), но такой путь обычно приводит к длительным дискуссиям среди экспертов. Поэтому имеет смысл ввести пять-шесть критериев критичности и присвоить им числовые значения. Примеры некоторых таких критериев приведены ниже:
- использование приложения в основной деятельности организации (не используется — 0, используется — 1);
- доля сотрудников организации, использующих приложение (менее 30% — 0, более 30% — 1).
- существенность информации (открытая — 0, конфиденциальная — 1).
Для оценки критичности приложения введем параметр Cпп, значение которого будет равно сумме числовых значений критериев критичности. В нашем примере Cпп может принимать значения в диапазоне [0; 3].
Числовым значением риска для приложения является произведение его критичности и суммы рисков всех компонентов ИТ-ландшафта, которые использует данное приложение.
Rпп = Cпп × ∑Rк
где Rпп — риск для прикладного приложения;
∑Rк — сумма рисков компонентов, которые использует данное приложение.
Значение Rпп целесообразно использовать для сравнения приложений в организации и определения наиболее уязвимых с точки зрения рисков, связанных с санкциями.
Шаг седьмой: выбор стратегий реагирования на риски
Теперь, когда у нас есть оценка рисков для прикладных приложений и для компонентов ИТ-ландшафта, нам необходимо сформировать перечень стратегий реагирования на них. Примеры некоторых стратегий перечислены ниже:
- отказ от дальнейшего развития (фиксация версии);
- замена поддерживающей организации на российскую;
- переход на российский аналог;
- использование аналога из другой страны;
- локальная сертификация с участием вендора;
- разработка собственного решения;
- выкуп прав для самостоятельного развития.
В нашем примере к целевому состоянию с приемлемым уровнем рисков для прикладных приложений и компонентов ИТ-ландшафта приводит набор стратегий, позволяющих снизить значения рисков.
Для более полной картины рассмотрим применение описанного подхода на примере.
Допустим, некое прикладное приложение в нашей организации использует некоторые компоненты ИТ-ландшафта (см. табл. 1).
Далее определим вероятность рисков для всех компонентов (табл. 2).
По формуле Rк = Tк × Pк рассчитываем значение рисков для компонентов (табл. 3).
Определим критичность приложения для организации на основе наших критериев:
- приложение используется в основной деятельности;
- доля сотрудников организации, использующих приложение, — менее 30%;
- приложение используется для обработки конфиденциальной информации.
Таким образом, критичность приложения Cпп = 2.
По формуле Rпп = Cпп × ∑Rк рассчитываем значение риска для приложения:
Rпп = 2 × (0 + 9 + 9 + 1) = 38.
Сформируем перечень мероприятий для компонентов ИТ-ландшафта с высокими рисками из нашего примера. Перечень мероприятий должен быть направлен на снижение риска для компонента и охватывать период от трёх до пяти лет с учетом развития информационных технологий в России за этот период (табл. 4).
Как видно из данной статьи, есть вполне приемлемый для любой российской организации перечень шагов, которые позволят оценить влияние санкций на информационные технологии в данной конкретной компании и принять определенные меры для защиты своих технологий и в конечном счете бизнеса.
При любом ходе событий нужно развивать отечественные информационные технологии независимо от каких-либо факторов, включая санкции. Для этого необходимы реальное желание ИТ-компаний и всемерная поддержка государства. Надеюсь, у нас есть и то и другое.