Как оценить санкционные риски для ИТ-ландшафта организации? Семь простых шагов
Санкции в отношении России и отдельных отечественных организаций вскрыли серьезную уязвимость и заставили говорить вслух о зависимости всех отраслей отечественной экономики от иностранных производителей. И если товары народного потребления относительно легко можно заместить (в том числе и путем смены одних иностранных поставщиков на других), то с информационными технологиями ситуация совершенно иная – замещать, как правило, нечем. Можно ли оценить угрозы зарубежных санкций для ИТ-ландшафта предприятия? Директор департамента развития и консалтинга IBS Левон Хачатрян в материале, подготовленном для TAdviser, предлагает рассмотреть набор несложных шагов, которые позволят понять, каким образом санкции повлияют на вашу организацию, и незамедлительно принять меры.
Вопросом импортозамещения мы почему-то озаботились только после санкций со стороны стран, являющихся основными производителями и поставщиками информационных технологий. И остается только гадать, насколько и дальше эта ситуация будет усложняться: запретят ли продажу технологий, ограничат ли поддержку технологий или просто усложнят процедуры их приобретения и ввоза в РФ.
Положим, оборудование действительно по большей части можно заменить на аналоги от российских и азиатских производителей. Качество и совместимость этих аналогов – большой вопрос для отдельной статьи. Но как же быть с программным обеспечением? Идея использовать свободно распространяемое ПО вызывает у экспертов только смех: местонахождение бесплатного сыра известно давно.
Для того, чтобы использовать свободно распространяемое программное обеспечение, необходимо как минимум создать в России центры компетенций по этому ПО.
Некоторые мои коллеги начали бесконечный процесс поиска замещающих технологий. Процесс бесконечный, потому что, повторюсь, программное обеспечение замещать практически нечем. Другие убеждены, что санкции их не коснутся.
Между тем, вместо ожидания грома в виде ужесточения санкций или ограничений на использование импортных информационных технологий, есть набор несложных шагов, которые позволят оценить, каким образом санкции повлияют на вашу организацию, и принять меры уже сейчас.ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября
Шаг первый: Структурирование ИТ-ландшафта
В качестве первого шага необходимо провести структурирование и актуализацию информации об используемых в организации информационных технологиях. Действие несложное, тем более что у большинства организаций эта информация в том или ином виде уже есть. Наиболее простой и понятной является неиерархическая структура в следующем разрезе:
- Платформы прикладного программного обеспечения.
- Системное программное обеспечение.
- Вычислительная инфраструктура.
- Телекоммуникационная инфраструктура.
- Программное обеспечение рабочих мест пользователей.
- Оборудование рабочих мест пользователей.
- Оргтехника.
Шаг второй: Формирование рисков для компонентов ИТ-ландшафта
Далее необходимо сформировать перечень рисков, связанных с санкциями. Для рисков можно вводить числовые коэффициенты значимости. Примеры некоторых рисков перечислены ниже:
- Ограничения (запрет) на использование импортных технологий со стороны регуляторов РФ.
- Запрет на ввоз технологий в РФ (санкции).
- Прекращение технической поддержки.
- Кража информации.
Шаг третий: Оценка угроз для компонентов ИТ-ландшафта
Можно провести качественную оценку угроз для компонентов ИТ-ландшафта (например, «Отсутствует», «Низкая», «Средняя», «Высокая»), но затем всем выбранным качественным критериям необходимо присвоить числовые значения.
Введем для оценки угроз для компонентов параметр Тк, значение которого будет равно максимальному значению угрозы для компонента. В нашем случае Tк может принимать значение в диапазоне [0;3].
Шаг четвертый: Оценка вероятности рисков
Поскольку речь идет о санкциях, то вероятность рисков можно оценить путем определения принадлежности производителей информационных технологий к тем или иным странам, например:
- Отсутствует – для РФ или свободно распространяемого программного обеспечения.
- Низкая – производители из стран, не присоединившихся к санкциям и входящих в политические и экономические блоки с РФ.
- Средняя – производители из стран, не присоединившихся к санкциям, но не входящих в политические и экономические блоки с РФ.
- Высокая – производители из стран, присоединившихся к санкциям (США, Страны ЕС и др.).
Как и на предыдущем шаге, присваиваем всем качественным критериям вероятности числовые значения.
Введем для оценки вероятности рисков для компонентов параметр Pк, значение которого будет равно максимальному значению вероятности риска для компонента. В нашем случае Pк может принимать значение в диапазоне [0;3].
Шаг пятый: Оценка рисков для компонентов
Числовым значением риска для каждого компонента будет являться произведение угрозы для данного компонента и вероятности риска для данного компонента:
Rк= Tк х Pк,
где Rк – риск для компонента, может принимать значение в диапазоне [0;9].
Приоритетными областями реагирования являются компоненты с Rк = 9.
Шаг шестой: Оценка рисков прикладных приложений
Теперь, когда у нас есть оценка рисков компонентов ИТ-ландшафта, нам необходимо оценить риски для прикладных приложений.
Для этого определим степень критичности приложений в нашей организации. Степень критичности можно оценивать экспертно (критично – не критично), но такой путь обычно приводит к длительным дискуссиям экспертов. Поэтому имеет смысл ввести 5–6 критериев критичности и присвоить им числовые значения. Примеры некоторых критериев критичности приведены ниже:
- Использование приложения в основной деятельности организации (не используется – 0, используется – 1).
- Доля сотрудников организации, использующих приложение (менее 30% – 0, более 30% – 1).
- Существенность информации (открытая – 0, конфиденциальная – 1).
Введем для оценки критичности приложения параметр Cпп , значение которого будет равно сумме числовых значений критериев критичности. В нашем примере Cпп может принимать значение в диапазоне [0;3].
Числовым значением риска для приложения является произведение критичности приложения и суммы рисков всех компонентов ИТ-ландшафта, которые использует данное приложение.
Rпп = Cпп х ∑Rк ,
где Rпп – риск для прикладного приложения; ∑Rк – сумма рисков компонентов, которые использует данное приложение.
Значение Rпп целесообразно использовать для сравнения приложений в организации и определения наиболее уязвимых с точки зрения рисков, связанных с санкциями.
Шаг седьмой: Выбор стратегий реагирования на риски
Теперь, когда у нас есть оценка рисков для прикладных приложений и для компонентов ИТ-ландшафта, нам необходимо сформировать перечень стратегий реагирования на риски. Примеры некоторых стратегий перечислены ниже:
- Отказ от дальнейшего развития (фиксация версии).
- Замена поддерживающей организации на российскую.
- Переход на российский аналог.
- Использование аналога из другой страны.
- Локальная сертификация с участием вендора.
- Разработка собственного решения.
- Выкуп прав для самостоятельного развития.
В нашем примере к целевому состоянию с приемлемым уровнем рисков для прикладных приложений и компонентов ИТ-ландшафта приводит набор стратегий, позволяющий снизить значения рисков.
Для более полной картины рассмотрим применение описанного подхода на примере.
Допустим, некое прикладное приложение в нашей организации использует следующие компоненты ИТ-ландшафта:
№ | Перечень компонентов | Угроза для компонентов (Tк) (3 – высокая, 0 - отсутствует) | |||
Ограничения (запрет) на использование импортных технологий со стороны регуляторов РФ | Запрет на ввоз технологий в РФ (санкции) | Прекращение технической поддержки | Кража информации | ||
1. | Платформа ПО от российского вендора | ||||
2. | СУБД производства США | ||||
3. | Серверная операционная система производства США | ||||
4. | Сервер от тайваньского вендора |
Далее, определим вероятность рисков для всех компонентов:
№ | Перечень компонентов | Производитель | Вероятность рисков (Pк) |
1. | Платформа ПО российского производства | ||
2. | СУБД производства США | ||
3. | Серверная операционная система производства США | ||
4. | Сервер от тайваньского вендора |
По формуле Rк = Tк х Pк рассчитываем значение рисков для компонентов:
№ | Перечень компонентов | Угроза (Tк) | Вероятность (Pк) | Риск (Rк) |
1. | Платформа ПО российского производства | |||
2. | СУБД производства США | |||
3. | Серверная операционная система производства США | |||
4. | Сервер от тайваньского вендора |
Определим критичность приложения для нашей организации на основе наших критериев:
- Приложение используется в основной деятельности.
- Доля сотрудников организации, использующих приложение – менее 30%.
- Приложение используется для обработки конфиденциальной информации.
Таким образом, критичность приложения Cпп = 2.
По формуле Rпп = Cпп х ∑Rк рассчитываем значение риска для приложения:
Rпп = 2 х (0 + 9 + 9 + 1) = 38.
Сформируем перечень мероприятий для компонентов ИТ-ландшафта с высокими рисками из нашего примера. Перечень мероприятий должен быть направлен на снижение риска для компонента, и должен охватывать период 3-5 лет с учетом развития информационных технологий в России за этот период.
№ | Перечень компонентов | Риск (Rк) | Стратегии |
1. | Платформа ПО российского производства | ||
2. | СУБД производства США | 1. Отказ от дальнейшего развития (фиксация версии) И | |
3. | Серверная операционная система производства США | 1. Отказ от дальнейшего развития (фиксация версии) И | |
4. | Сервер от тайваньского вендора |
Как видно из данной статьи, есть вполне приемлемый для любой российской организации перечень шагов, которые позволят оценить влияние санкций на информационные технологии в организации и принять определенные меры для защиты своих технологий, и, в конечном счете, бизнеса.
Подготовлено при поддержке IBS
Смотрите также
- Импортозамещение информационных технологий в России
- Импортозамещение программного обеспечения в госсекторе
- Импортозамещение вычислительной техники и микроэлектроники
- "Дорого, но неизбежно": Как российские ИТ-компании оценивают перспективы импортозамещения
- Импортозамещение в сфере информационной безопасности
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Импортозамещение в госкомпаниях
156