Распечатать

Коммерсант № 54, 2006

Антон Сушкевич, генеральный директор NVision Group: "Наши системы защиты информации отстают от западных на годы"

29 марта 2006

Коммерсант № 54, 2006


Фото: Григорий Собченко / Коммерсантъ

Антон Сушкевич, генеральный директор NVision Group

"Наши системы защиты информации отстают от западных на годы"

– Каковы основные угрозы в сфере информационной безопасности, с которыми сталкиваются российские компании? Какие средства для защиты информации наиболее востребованы нашим рынком?

– По нашим оценкам, значительный финансовый ущерб корпоративным информационным системам наносят вирусные атаки. Кроме того, за последние годы значительно возросла опасность неавторизованного доступа к корпоративной информации. Защите от этих и других угроз в основном уделяют внимание сегодня все компании. Хотя, как я считаю, это внимание недостаточно. В частности, компании еще не сумели надлежащим образом оценить фактор влияния на информационную безопасность сотрудников, которые могут как неквалифицированно работать с IT-системами, так и умышленно "сливать" конфиденциальную информацию. Сегодня крупные компании в первую очередь отдают предпочтения комплексным системам информационной безопасности. Эти решения включают в себя все элементы информзащиты: программные средства и оборудование, организационные регламенты, системы по управлению информационной безопасностью. Кроме этого растет спрос на услуги, связанные с анализом информационных рисков, аудитом системы информационной безопасности, разработкой политики безопасности, обучением сотрудников и сервисной поддержкой систем информационной безопасности.

– Каковы затраты крупных российских компаний на системы защиты информации? Сколько стоит компании полностью обезопасить себя?

– Думаю, однозначного ответа на этот вопрос нет. Стоимость создания системы защиты информации зависит от того, какие элементы в нее будут включены, а также от размера защищаемой информационной системы. Чем система масштабнее, тем она сложнее и дороже. В таких системах используются, как правило, более сложные продукты и услуги, которые обходятся клиентам достаточно дорого. Стоимость создания комплексной системы информационной безопасности для крупных компаний может достигать $10 млн. Но для компаний и организаций, где сохранность информации является ключевым фактором для функционирования бизнеса – банков, аудиторских и страховых компаний, к примеру, эти затраты неизбежны.

– Насколько российские разработки в сфере информбезопасности конкурентоспособны на мировом рынке? Могут ли они, на ваш взгляд, стать существенной статьей дохода в структуре российского IT-экспорта?

– Честно сказать, российские разработки в сфере информационной безопасности значительно отстают от аналогичных западных продуктов. За редкими исключениями они в ближайшие годы вряд ли могут стать конкурентоспособными на мировом рынке. Я думаю, что сейчас российским производителям лучше сконцентрироваться на внутреннем рынке. Это перспективнее, поскольку российское законодательство значительно ограничивает применение иностранных систем безопасности, в первую очередь в госструктурах.

В перспективе, конечно, российские продукты в области защиты информации могут быть востребованы на международных рынках. Но без поддержки государства на международном уровне, без лоббизма в хорошем смысле слова стать транснациональными российским компаниям, работающим в сфере информационной безопасности, вряд ли удастся.

– Насколько реально внедрение современных систем информационной безопасности силами компаний-заказчиков? Возможно ли массовое привлечение к созданию таких систем сторонних компаний, как это происходит на Западе?

– Построение систем информационной безопасности силами внешних специализированных компаний – наиболее правильный подход. Строительство таких систем – задача дорогая, сложная, требующая участия очень квалифицированного персонала, которого, как правило, у заказчика нет. Однако в России своя специфика – аутсорсинг в сфере информационной безопасности у нас не приветствуется, поскольку заказчики опасаются утечки конфиденциальной информации. Поэтому пока я не встречал компаний, которые отдавали бы полностью проекты построения и поддержки системы безопасности в чужие руки.

На аутсорсинг сегодня чаще всего отдают проведение регулярных аудитов систем защиты информации, установку специализированного софта или оборудования, иногда – управление системой сетевой безопасности. Бывает, что внешние специалисты принимают участие в расследовании инцидентов, связанных с нарушениями информационной безопасности. Наиболее эффективный подход, который уже используют ряд российских компаний, сочетает в себе использование ресурсов собственной службы безопасности в сочетании с аутсорсингом в решении отдельных задач.

– Участники рынка часто жалуются, что в России не существует единых стандартов построения систем информационной безопасности. Насколько, на ваш взгляд, необходимо создание таких стандартов? Должны ли они быть закреплены на государственном уровне?

– Ну, я бы не сказал, что таких стандартов не существует совсем. Сегодня в РФ регламентируется защита сведений, составляющих государственную тайну, а также защита конфиденциальной информации, в том числе персональных данных. Для сведений, составляющих государственную тайну, существуют норм ативные документы ФСТЭК (Федеральной службы по техническому и экспортному контролю) и ФСБ России, устанавливающие порядок применения средств защиты информации. В свою очередь, для защиты конфиденциальной информации в коммерческих компаниях стандарты сейчас устанавливают сами собственники этой информации.

Я считаю, что государство, несомненно, должно определить стандарты информационной безопасности. Более того, одно время планировалось разработать подобный стандарт на базе международного стандарта ISO 27001. Это методология, которая используется сейчас во всем мире и досконально описывает критерии безопасности информационных систем и принципы их применения.

Государство, по моему мнению, не должно регламентировать использование конкретных систем и продуктов. Стандартизация в сфере информационных технологий, и не только систем информационной безопасности, вообще больной вопрос отрасли. Необходимость подобной деятельности давно обсуждается, но, к сожалению, серьезных подвижек здесь нет. Впрочем, такая проблема актуальна не только для нашей страны.