Роскомнадзор планирует в 2025 году развивать свою информсистему на технологиях Cisco и VMware

Роскомнадзор в конце ноября завершил выбор поставщика в рамках тендера^[1] по расширению функциональных характеристик Единой информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (ЕИС Роскомнадзора) в 2024-2025 гг. Доработка должна проводится в два этапа, первый из которых должен завершиться до 20 декабря 2024 года, а второй – до 15 марта 2025 года. Общая стоимость работ 7,8 млн рублей. На конкурс была подана одна заявка компании ООО «Е.Софт» – с ней и заключен контракт.

𝓲

Роскомнадзор

В техническом задании к этому тендеру указаны существующие характеристики ЕИС Роскомнадзора – используемое программное обеспечение и оборудование. В частности, в этом списке среди программного обеспечения есть ОС Oracle (Sun) Solaris, СУБД Oracle Database Server 10g и MySQL, также принадлежащая Oracle, средства виртуализации VMware ESXi и программное обеспечение резервного копирования Veritas NetBackup Enterprise 6.5.

𝓲

Роскомнадзор

Кроме того, в качестве оборудования, на котором работает ЕИС Роскомнадзора, указаны следующие устройства: СУБД Sun Enterprise M5000 и M8000, сервера Oracle SPARC T4-1, T5-4, Т8-2 и S7-2, HP Proliant DL380R07, Dell PowerEdge R810 и R620, системы хранения ЕМС VNX5500 и Hitachi Scalar i500, а также сетевые устройства Cisco и Brocade. Производители всех этих продуктов уже не работают в России и не могут обеспечить техническую поддержку своих продуктов.CommuniGate Pro: итоги первого года работы законного правообладателя 2.5 т

Справедливости ради стоит отметить, что в системе указано присутствие и оборудования российских производителей – пять серверов «Гравитон» С2082, системы хранения «Аэродиск Восток» и сетевого оборудования Qtech (коммутаторы QSW-4700 и QSW-6900). Также есть и стек решений на базе открытого кода: операционные системы FreeBSD, Red Hat Enterprise и CentOS Linux, базы данных PostgreSQL, система разработки веб-приложений на базе Apache Tomcat и ActiveMQ. При этом российские операционные системы в ЕИС Роскомнадзора почему-то не указаны, хотя недавно было и их внедрение в ведомстве^[2].

Следует отметить, что формально требования указа Президента №166 «О мерах по обеспечению технологической независимости и безопасности КИИ РФ» не нарушены. С 1 сентября государственным ведомствам запрещено покупать новое иностранное ПО и оборудование, а его эксплуатация формально не запрещена. Однако РКН в тендере указал, что от разработчиков требуется использовать в новых разработках язык PL/SQL, который является встроенным именно для базы данных Oracle – в PostgreSQL используется его аналог PL/pgSQL. То есть основные доработки ведомство до сих пор требует выполнять на технологиях из недружественных стран.

Следует отметить, что в июне этого года уже проходил аналогичный тендер^[3] с очень похожим названием и документацией, где доработки требовалось завершить к сроку 1 этапа текущего тендера – 20 декабря. Тогда победителем также стала компания ООО «Е.Софт», которая заключила с Роскомнадзором контракт на сумму 21,6 млн рублей.

Не менее показательна тендерная документация^[4] по другому завершившемуся в начале декабря конкурсу, в рамках которого ведомство заказало комплексное обследование информационных систем, разработку организационно-распорядительной документации на создание системы защиты информации передачей неисключительных прав на ПО. Его целью является получение независимой и объективной оценки состояния защиты информации, обрабатываемой в ЕИС Роскомнадзора, и проектирование системы защиты информации.

Результатом этого конкурса должна стать разработка тендерной документации для построения комплексной защиты распределенной сети ведомства вместе с его региональными филиалами. И это правильный путь в построении систем защиты, по которому должны идти и другие ведомства.

Однако в описании объекта исследования указаны следующие характеристики: в состав серверного сегмента ГИС входит кластер из 28 физических серверов, расположенных в московском ЦОДе Роскомнадзора, а пользовательский сегмент представляет собой совокупность АРМ с установленными на них ОС Windows, средствами защиты информации от несанкционированного доступа и антивирусного ПО.

При этом из ранее проведенных тендеров ведомства можно определить, что в качестве защиты от НСД используется Secret Net Studio 8^[5], а в качестве антивируса – продукты «Лаборатории Касперского»^[6]. В последнем тендере требования по операционным системам варьируются от Windows 7 Home до Windows 10 Enterprise – видимо Windows 11 в ведомстве уже не используется. Впрочем, в списке ОС на базе Linux указаны различные варианты отечественных продуктов: Alt Linux, «Гослинукс» и даже «Лотос».

Следует отметить, что с точки зрения законодательства операционные системы, базы данных и даже системы виртуализации могут расцениваться как средства защиты, поскольку в них есть как минимум контроль доступа – они проверяют пароли пользователей, которые к ним подключаются. В то же время в рамках указа Президента №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» с 1 января 2025 года на объектах КИИ, к которым относится и государственные информационные системы, запрещено использовать средства защиты из недружественных стран. Таким образом, с точки зрения требований законодательства такие продукты как СУБД Oracle, операционные системы Solaris и Windows, маршрутизаторы Cisco и средства виртуализации VMware будут нарушать требования указа №250.

В информационной системе Роскомнадзора используются только отечественные средства защиты информации, что подтверждается действующим аттестатом соответствия требованиям приказа ФСТЭК России от 11.02 2013 №17, – пояснили для TAdviser в пресс-службе Роскомнадзора. – У иностранного оборудования, используемого в системе для хранения данных и работы приложений, есть функции СЗИ, но ведомство их не использует.

Примечания