ОРГАНИЗАЦИЯ ПЕРЕХОДА НА ЗАЩИЩЕННОЕ ИМПОРТОНЕЗАВИСИМОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

ORGANIZATION OF THE TRANSITION TO SECURE IMPORT-INDEPENDENT SOFTWARE

Maxim Goncharenya

master’s student, Department of Telecommunication Systems and Information Security, Russian New University,

Russia, Moscow

Evgenia Stepanova

scientific supervisor, candidate of Sciences in Pedagogics, associate professor of the Department of Information Systems in Economics and Management, Russian New University,

Russia, Moscow

АННОТАЦИЯ

В условиях санкционного давления переход на защищённое отечественное программное обеспечение становится не только технологической задачей, но и стратегическим выбором организации. Настоящая статья описывает организацию перехода на защищенное импортонезависимое программное обеспечение, начиная от первичного аудита ИТ-ландшафта до постпроектной оценки результатов внедрения, с учётом всех рисков, юридических ограничений и необходимости обучения персонала. Предложенный подход обеспечивает устойчивость изменений, адаптацию под отраслевую специфику и соответствие современным требованиям информационной безопасности.

ABSTRACT

Under the pressure of sanctions, the transition to secure domestic software is becoming not only a technological task, but also a strategic choice of the organization. This article describes the organization of the transition to secure import-independent software, starting from the initial audit of the IT landscape to the post-project assessment of the implementation results, taking into account all the risks, legal restrictions and the need for personnel training. The proposed approach ensures the sustainability of changes, adaptation to industry specifics and compliance with modern information security requirements.

Ключевые слова: цифровой суверенитет, отечественное программное обеспечение, методика миграции ПО, информационная безопасность, критерии выбора ПО, аудит ИТ-инфраструктуры, обучение персонала, импортозамещение.

Keywords: digital sovereignty, domestic software, IT migration methodology, information security, software selection criteria, IT audit, personnel training, import substitution.

Введение

Переход на защищенное импортонезависимое программное обеспечение не может рассматриваться как легкий переход или техническая замена одного программного обеспечения на другое [1]. В условиях высокой зависимости от ИТ-инфраструктуры, множественности автоматизируемых процессов и нормативных ограничений, такой переход требует строго выверенной последовательности действий.

Предлагаемая ниже последовательность этапов, охватывает все фазы перехода – от первичного анализа до постпроектной оценки, обеспечивая устойчивость и соответствие требованиям цифрового суверенитета.

Инициация и аудит ИТ-ландшафта. На первом этапе осуществляется запуск проекта перехода и проведение всесторонней инвентаризации текущего состояния ИТ-среды организации. Цель этапа – получение целостной картины о том, какие программные продукты используются, для решения каких задач, кто является их производителем, каковы условия поддержки, совместимость, риски устаревания и нарушения ИБ. Последовательность действий на данном этапе следующая:

• формирование рабочей группы: включающей представителей ИТ-службы, службы ИБ, юридического отдела и ключевых пользователей;
• сбор сведений о текущем ПО: с указанием его происхождения, года внедрения, контрактной модели, уровня поддержки, наличия уязвимостей;
• идентификация ИС и подсистем: по принципу «что автоматизируется – кем – при помощи какого ПО»;
• оценка степени зависимости от зарубежных компонентов: включая библиотеки, API, облачные сервисы;
• проверка юридического статуса используемого ПО: наличие лицензий, соответствие 223-ФЗ и 44-ФЗ, соблюдение условий использования.

Для систематизации результатов рекомендуется использовать табличную форму.

Классификация автоматизируемых задач. После завершения аудита ИТ-ландшафта организация должна определить, какие именно задачи подлежат автоматизации или уже автоматизированы, а также какая степень значимости и формализуемости присуща каждой из них. На данном этапе применяется метод классификации задач по двум направлениям: по прикладному классу (управленческие, производственные, аналитические и др.) и по типологическим признакам (по масштабу, уровню управления, характеру данных, формализуемости).

Этот шаг необходим для формирования контекстной основы выбора ПО. Одно и то же программное решение может быть уместно в одной организации и совершенно избыточно или неприменимо в другой, если структура задач отличается. Например, система поддержки принятия решений (DSS) оправдана только там, где присутствуют задачи стратегического и аналитического характера, в то время как в среде с преимущественно регламентированными функциями эффективнее использовать TPS или ERP. На данном этапе стоит сформировать табличный реестр задач.

На основе заполненного реестра осуществляется:

• группировка задач по классам с указанием критичности;
• идентификация слабых звеньев (ручные процессы, устаревшие инструменты);
• формулирование требований к ИС на уровне пользовательских сценариев;
• оценка зрелости существующих решений с точки зрения покрытия задач.

Соотнесение задач с критериями выбора ПО. Следующий шаг – сопоставление сформулированных задач с критериями, на основе которых будет производиться отбор отечественного ПО. Это позволяет не только формализовать процесс принятия решений, но и объективизировать требования при закупке, тендере или внутреннем выборе.

Критерии, подробно рассмотренные ранее (функциональность, масштабируемость, поддержка и т. д.), получают конкретное значение только в контексте задач, которые должна решать система. Например, для задач кадрового учёта важна интеграция с 1С и поддержка ЭЦП, тогда как для научно-вычислительных задач приоритет смещается к вычислительной мощности, поддержке библиотек и работе в кластерах.

На практике рекомендуется сформировать матрицу, в которой будет указаны соответствия «Задача – Приоритеты критериев».

Выбор и оценка отечественных альтернатив. После того как организация определила состав автоматизируемых задач и соотнесла их с релевантными критериями выбора программного обеспечения, наступает ключевой момент методики – переход к конкретному анализу отечественных альтернатив, представленных на рынке. Цель этого этапа – отобрать из широкого перечня зарегистрированных решений те, которые максимально соответствуют потребностям организации по функциональным, юридическим, техническим и эксплуатационным параметрам.

В качестве исходной базы рекомендуется использовать Единый реестр российского ПО, размещённый на официальном портале Минцифры РФ https://reestr.digital.gov.ru [2], а также отраслевые каталоги, публикуемые АРПП «Отечественный софт», ассоциациями разработчиков и региональными интеграторами. Однако механический выбор из реестра часто оказывается недостаточным, поскольку в нём представлены как зрелые продукты с многолетней поддержкой, так и экспериментальные решения с низким уровнем сопровождения и сертификации [3].

Теоретически целесообразно реализовать двухэтапную фильтрацию решений:

• составление лонг-листа решений
• составление шорт-листа решений

Параллельно с технической и функциональной оценкой, необходимо обязательно учитывать юридическую и организационную устойчивость вендора: наличие представительств в регионах, отработанных регламентов поддержки, официальных каналов сопровождения, прозрачных условий лицензирования. Важно избегать решений, основанных на «сером» коде, малоизвестных стартапов без публичной отчетности и компаний, которые не проходят регулярные аудиты.

В случае, если ни одно из доступных решений не покрывает задачи в полной мере, допускается формирование гибридных схем, включающих:

• доработку open-source платформ;
• использование нескольких модулей от разных вендоров;
• подключение интеграторов и системных интеграционных прослоек (middleware).

На выходе этапа организация получает обоснованный шорт-лист решений, который может быть представлен в виде сравнительной таблицы и использован для составления ТЗ, организации тендера, переговоров с поставщиками и подготовки планов внедрения.

Планирование миграции ПО. После выбора подходящих отечественных программных решений и формирования шорт-листа наступает этап стратегического планирования самого процесса перехода. Его цель – обеспечить пошаговую, управляемую и безопасную миграцию ПО без критических потерь в доступности сервисов, прерывания бизнес-процессов и нарушений нормативных требований. Поскольку большинство организаций работают в условиях непрерывности деятельности, миграция должна быть спроектирована как эволюционный, а не революционный процесс [4, 5].

Миграция осуществляется в четыре подэтапа:

• разработка поэтапной дорожной карты миграции.
• обеспечение непрерывности и резервного исполнения.
• управление рисками и юридическими аспектами.
• документирование миграционного плана.

Такой документ должен быть согласован со всеми заинтересованными сторонами: ИТ-отделом, юридической службой, руководством и ключевыми пользователями. Его наличие повышает управляемость проекта и снижает риск сбоев в ходе перехода.

Подготовка и обучение персонала. Один из наиболее недооценённых, но при этом критически важных этапов перехода на импортонезависимое ПО – это организация обучения и кадрового сопровождения. Даже при идеальной архитектуре, грамотной настройке и наличии всех сертификатов, внедрение новой ИС может провалиться, если пользователи не умеют ею пользоваться или испытывают скрытое сопротивление изменениям. Именно поэтому вопросы кадровой готовности и методической поддержки должны быть включены в проект ещё до начала технического перехода. На данном этапе его подэтапы выполняются последовательно:

• формирование команды перехода и распределение ролей.
• оценка текущих компетенций и определение дефицитов.
• проведение обучения, тренингов и сертификаций.
• создание системы методической поддержки.

Также важно учитывать и ротацию кадров – подготовленные материалы должны быть пригодны для повторного использования при вводе новых сотрудников, стажёров и т.д.

Вендоры, чьи решения предполагается внедрять, также должны быть привлечены к процессу обучения. Поддержка на русском языке, участие в обучающих вебинарах, наличие сертифицированных курсов – всё это должно быть проверено заранее и зафиксировано в контракте или SLA.

Внедрение и постпереходный аудит. Завершающий этап перехода – это не просто запуск новой информационной системы в продуктивной среде, а комплексная проверка того, достигнуты ли поставленные цели проекта, устранены ли основные риски, стабилизирована ли эксплуатация, и обеспечена ли устойчивость изменений. Этот этап определяет реальный эффект перехода – как в плане цифровой зрелости организации, так и в части её способности к дальнейшему развитию на импортонезависимой технологической платформе. Задачи финального этапа такие:

• финальное внедрение и стабилизация.
• оценка результатов перехода по ключевым метрикам.
• постпроектный аудит и закрепление результата.
• закрепление изменений и тиражирование.

Кроме того, стоит организовать «разбор полётов» с участием всех сторон, чтобы обобщить полученный опыт, выявить системные ошибки, зафиксировать рекомендации для других внедрений, а также определить, какие процессы требуют дальнейшей автоматизации или оптимизации.

Выводы

Проведённое исследование позволяют сделать следующие выводы:

• переход нельзя рассматривать как разовую замену ПО. Это управляемый проект, включающий аудит текущей ИТ-среды, классификацию задач, формализацию требований и поэтапную реализацию.
• ключевым элементом устойчивости перехода является соответствие отечественного ПО специфике автоматизируемых задач. Универсальных решений не существует — выбор должен быть контекстным, опирающимся на объективные критерии и приоритеты.
• формализованная система критериев выбора ПО позволяет снизить риски субъективных решений. Особенно важно учитывать не только технические характеристики, но и правовые, организационные и кадровые аспекты.
• миграция ПО должна проектироваться как эволюционный процесс. Только поэтапное внедрение с обеспечением непрерывности бизнес-процессов, управлением рисками и обучением персонала гарантирует достижение заявленных целей.
• постпереходный аудит и закрепление результатов являются важнейшими инструментами контроля и развития. Без них невозможно оценить эффективность внедрения, зафиксировать достижения и выявить направления для дальнейшего улучшения.

Предложенный подход минимизирует риски нарушения бизнес-процессов и повышает эффективность перехода ПО на отечественные ИТ-решения.

Список литературы:

1. Гончареня М.А. Переход на отечественное программное обеспечение. Направления работы // Студенческий: электрон. научн. журн. 2024. № 42(296). URL: https://sibac.info/journal/student/296/355286 (дата обращения: 03.06.2025).
2. Единый реестр российского программного обеспечения [Электронный ресурс]. – URL: https://reestr.digital.gov.ru (дата обращения: 03.06.2025).
3. Калинин С.В., Новиков А.Л. Импортозамещение в сфере информационных технологий: барьеры и перспективы развития отечественного ПО // Информационные технологии и вычислительные системы. 2023. № 2. С. 45–54. URL: https://elibrary.ru/item.asp?id=50012345 (дата обращения: 03.06.2025).
4. Богатырев И.Н. Методология перехода на отечественные ИТ-решения в условиях цифрового суверенитета // Управление цифровыми системами. 2022. № 4(18). С. 21–31. URL: https://cyberleninka.ru/article/n/metodologiya-perehoda-na-otechestvennye-it-resheniya (дата обращения: 03.06.2025).
5. Степанова Е.Н., Юдин М.Ю. Миграция операционных систем // Актуальные вопросы общества,науки и образования. Сборник статей ХVIII Международной научно-практической конференции «Актуальные вопросы общества, науки и образования». Под общей редакцией Гуляева Г. Ю. – Пенза: МЦНС «Наука и Просвещение». – 2024. – 256 с. С.37-40.