Распечатать

Линия защиты

В журнале «Профиль» №10(709) опубликована статья с обзором состояния российского рынка информационной безопасности, в которой выступил Дмитрий Огородников, директор департамента информационной безопасности «Энвижн Груп»

21 марта 2011

Единственный сегмент российского IT-рынка, который не пострадал от кризиса, — это средства информационной безопасности.

Не важно, что на дворе — кризис или подъем, день или ночь, зима или лето, — но частные пользователи и компании все равно должны думать о безопасности своих компьютеров. Плюс возросшие требования регулирующих органов к уровню безопасности личных данных. Плюс рост киберпреступности. Вот вам и объяснение того, что инструменты, позволяющие обеспечивать сохранность конфиденциальных данных, всегда будут в цене.

Будь в тренде

Как рассказал заместитель директора центра информационной безопасности компании «Инфосистемы Джет» Евгений Акимов, на рынке сейчас наблюдается процесс постепенного перехода компаний от наращивания средств защиты информации к созданию систем управления этими средствами. Обычно подобное решение подразумевает построение процессов управления инцидентами, конфигурациями и средства их автоматизации. Мировой бизнес стал предъявлять повышенные требования и к визуализации средств анализа, мониторинга, а также к созданию единого центра управления информационной безопасностью (ИБ) в каждой компании. По мнению директора по ИБ представительства Microsoft в России Владимира Мамыкина, это говорит о том, что корпорации меняют свой взгляд на ИБ: «Ранее бизнес был заинтересован в первую очередь в соблюдении законодательства. Сейчас же все больше компаний, в том числе из сегмента среднего бизнеса, обращают внимание на то, что ИБ может обеспечить с точки зрения бизнеса». По словам эксперта, в России этот тренд тоже наблюдается, но пока он находится в начале своего развития.

Другая общемировая тенденция, по мнению Евгения Акимова, — отраслевая стандартизация в сфере ИБ. Применительно к России это прежде всего стандарт Банка России по ИБ (СТО БР ИББС), ставший основополагающим для банковской отрасли. Правда, как уточняет директор департамента информационной безопасности «Энвижн Груп» Дмитрий Огородников, этот стандарт (версия 1.4, принятая в прошлом году) не вводит никакой ответственности, и его положения являются рекомендательными. Кроме того, ведется разработка похожего стандарта и для телекоммуникационных компаний, ожидаются анало-гичные разработки для страховых компаний, обсуждается возможность создания отраслевых стандартов по ИБ для других секторов экономики.

По мнению руководителя проектов компании «ФОРС» Михаила Башнина, ключевым фактором, определяющим будущее рынка информационной безопасности, является приход «облачных вычислений» (cloud computing — технологии распределенной обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю как интернет-сервис). «По сути дела, можно говорить о наступлении новой эпохи в IТ, — говорит специалист. — Однако «облака» разрушают существующую парадигму периметровой защиты IT-инфраструктуры. Объектами защиты становятся гипервизоры, виртуальные машины и устройства доступа к IT-сервисам». Изменившиеся потребности формируют спрос на новые программные продукты и технологии. Многие вендоры уже откликнулись на это, разработав соответствующие решения. Таковым, к примеру, является продуктовая линейка Oracle по управлению корпоративной идентификацией и доступом к документам и защите баз данных. С помощью этих программных средств обеспечивается защита не просто IT-инфраструктуры, а непосредственно самой информации.

В общем и целом российский рынок ИБ практически ничем не отличается от мирового, констатируют наши эксперты, с той лишь разницей, что некоторые тенденции, активно развивающиеся в мире, могут прийти в Россию с задержкой на два-три года. Так, например, сегодня мы наблюдаем на отечественном рынке существенный рост сервисных услуг в отношении ИБ. По разным оценкам, услуги занимают треть рынка ИБ, а объем их продаж меньше объема продаж программного обеспечения всего лишь в два раза, в то время как на рынке стандартных IT-услуг эта разница значительно больше. Владимир Мамыкин не сомневается, что произошло это в результате попыток представителей бизнеса аттестовать свои организации на соответствие Федеральному закону № 152 «О защите персональных данных». Европейские страны и США уже прошли этот этап несколько лет назад, когда там были приняты и начали действовать аналогичные законы.

Так или иначе, в течение последних двух лет в России были особо востребованы проекты, от которых просто нельзя было отказаться. «Прежде всего они связаны с удовлетворением требований регуляторов — в основном с законом о персональных данных, а также требованиями стандартов PCI DSS и СТО БР ИББС, — поясняет Евгений Акимов. — При этом большинство проектов, связанных с защитой персональных дан-ных, выполнялось по принципу блицкрига: формальное соответствие требованиям регулятора за минимальные сроки и деньги. Реальная защищенность, увы, зачастую, не была целью таких проектов». Но даже в редуцированном виде эти направления существенно поддержали рынок ИБ в стране и дали возможность во время кризиса сохранить бизнес многим его игрокам.

Какие же требования предъявляют сейчас к системам ИБ сами заказчики? По словам Михаила Башнина, главное, что интересует клиентов в любом программном продукте, — его готовность к эксплуатации: «Необходимость в дополнительных настройках должна быть минимальной. Другое существенное пожелание многих заказчиков касается наличия у компании-интегратора опыта внедрения и сопровождения подобных решений, который необходим при установке и референтной настройке программного продукта». Свое мнение на этот счет у Владимира Мамыкина: «Ос-новное требование, которое сейчас предъявляется к системам ИБ, — это их окупаемость». Практически все западные компании работают с обоснованием затрат и окупаемостью проектов и рассчитывают коэффициент возврата инвестиций. До кризиса такая практика в России применялась редко: директора по ИБ получали деньги без необходимости экономического обоснования. Однако сейчас многое изменилось — владельцы компаний стали требовать обоснования инвестиций и коротких сроков окупаемости.

Персональная защита

Тем временем российский бизнес в очередной раз получил отсрочку на адаптацию к новым нормам законодательства. Так, в конце декабря 2010 года в закон были внесены изменения, согласно которым информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с законодательными требованиями не позднее 1 июля 2011 года. Как предполагает Дмитрий Огородников, скорее всего, это связано с отсутствием в бюджете средств на приведение государственных систем в соответствие с положениями данного закона. «Ввиду того, что это уже третий перенос сроков вступления закона в силу, можно предположить, что в отношении текста закона и всей нормативной базы по защите ПД готовятся значительные изменения, — рассказывает эксперт. — Для многих очевидно, что имеющиеся требования подзаконных актов, связанных с ФЗ-152, местами непонятны, местами устарели и зачастую просто не работают, так как не учитывают современные тенденции развития информационных технологий и специфику деятельности многих организаций, в том числе и государственных».

Самая очевидная проблема, встающая перед компаниями, — отсутствие сертифицированных средств защиты, соответствующих современным технологиям. Отечественные производители, ориентированные на разработку средств защиты, в большинстве своем отстают от крупных западных софтверных корпораций. А отечественная система сертификации зарубежных продуктов тормозит их использование в защите персональных данных. Особенно это очевидно, когда речь идет о сложных гетерогенных системах, требующих комплексных, высокопроизводительных и надежных решений. Сертификация таких продуктов может занять до года, а стоимость составит несколько миллионов рублей. Решая эти проблемы, организации для выполнения требований по разграничению доступа к сетям и серверам вынуждены выделять отдельную серверную комнату, в которой каждая информационная система работает на определенном сервере. При этом все понимают, что мировые тенденции развития IТ сейчас фокусируются, например, на  «облачных вычислениях», что предполагает разброс вычислительных ресурсов и систем хранения по всему миру, а технологии виртуализации приводят к тому, что вся корпоративная информационная система может располагаться в двух стойках. Традиционное размещение информационных систем становится просто экономически невыгодным. Таким образом, положения закона начинают мешать бизнесу развиваться и дают дополнительную нагрузку на бюджет.

При этом, если разобраться в хитросплетениях закона, оказывается, что если использовать штатные средства защиты операционных систем, сетевого оборудования и рабочих станций, то почти все функции по защите персональных данных можно реализовать штатными методами, но только в случае, если ПО и оборудование сертифицированы. Фактически оказывается, что закон сводится к закупке сертифицированных средств. «Надо в корне менять отношение к этому закону, — считает Дмитрий Огородников. — Вместо того чтобы в очередной раз откладывать его вступление в силу, нужно всерьез заняться проблемой распространения ворованных баз данных и ввести реальную строгую ответственность для владельцев информационных систем». Если компании будут понимать, что в случае кражи их базы данных они получат групповой иск на многие миллионы рублей от тех, чьи данные находятся в базе, то они быстро начнут решать проблемы по обеспечению сохранности данных, да еще придумают, как это сделать гораздо лучше, чем предписывает закон.

http://www.profile.ru/items/?item=31849

Оригинал статьи в формате PDF (0.9 Mбайт)