Савва Морозов, начальник отдела Центра координации обеспечения технологического суверенитета финансового рынка Центрального Банка, на Годовом собрании АРПП «Отечественный софт» рассказал о направлениях деятельности отраслевого комитета «Финансы» и поделился методологией импортозамещения в финсекторе.

«Банк России, в первую очередь, беспокоят вопросы операционной надежности и информационной безопасности ИТ-решений», — обозначил приоритеты Центробанка Савва Морозов. По его словам, Центробанк с 2020 года занимался разработкой нормативно-правовых актов в отношении операционной надежности финансовых организаций, поэтому к 2022 году уже сложилась нормативно-правовая база, позволяющая идентифицировать технологический стек, используемый в финсекторе для реализации технологических процессов. Это позволило в кратчайший срок собрать информацию, на каком стеке находится тот или иной технологический процесс, и оценить риски.

Для идентификации критической инфраструктуры была разработана функционально-техническая карта, позволяющая учесть все зоны риска — от технологического процесса до программно-аппаратного обеспечения. Работы проводились поэтапно — от идентификации каждого объекта информатизации до оценки его рисков. В результате были определены ключевые мероприятия перехода по выявленным типам уязвимых архитектур: вертикально-интегрированным платформам, вендорскому прикладному ПО, собственному прикладному ПО и Open Source, облачным решениям.

Савва Морозов рассказал о планах Центробанка совместно с Минцифры России проработать «легализацию» Open Source. «Все используемые решения должны быть в Реестре, но есть такая зона, которую нужно нормативно урегулировать. Решением этого вопроса мы видим внедрение стандартизированного нормативного цикла безопасной разработки для возможности использования Open Source-решений в своем ИТ-ландшафте», — заявил эксперт.

В части программного обеспечения будет осуществлен переход высоконагруженных систем на отечественное общесистемное ПО, а при использовании свободного ПО будут предусмотрены меры развития, совершенствования и внедрения специализированных инструментов и сервисов автоматизации безопасной разработки, сборки, развертывания и эксплуатации свободного ПО. В части аппаратного обеспечения и ПАК предполагается использование большего количества менее производительного аппаратного обеспечения для достижения необходимого уровня производительности с учетом использования систем виртуализации и контейнеризации. Компаниям-разработчикам необходимо доработать текущие средства защиты информации в соответствии с потребностями заказчиков, определенными на совещании в Минцифры, а затем провести тестирование и применение возможных решений.