|
|
|
|
Владимир Гайкович: У банковских подразделений информационной безопасности пока слишком короткие рукиНесмотря на то, что информационное сопровождение IT-бизнеса в России с каждым годом становится все более полным и насыщенным, на рынке существует целый ряд сегментов, данные по которым, к сожалению, пока не собраны и не обработаны исследователями. Одним из таких традиционно закрытых сегментов является сфера информационной безопасности. За экспертными оценками рыночных показателей отрасли CNews.ru обратился к Владимиру Гайковичу, генеральному директору НИП "ИНФОРМЗАЩИТА". На свои вопросы мы получили исчерпывающие ответы. CNews.ru: В России так сложилось исторически, что многие банковские и финансовые структуры изначально имели собственные службы, контролирующие вопросы безопасности (в том числе и информационной). Насколько активно эти структуры сегодня готовы к аутсорсингу данного вида работ? Владимир Гайкович: Практически в каждом банке существует собственная служба безопасности. Эта служба, как правило, обеспечивает любую безопасность, за исключением информационной, - защиту помещений, хранилищ наличных денег, организацию пропускного режима, инкассацию, возврат кредитов и т.д. С информационной безопасностью (ИБ) все несколько сложнее. Отдельная служба по обеспечению ИБ есть далеко не у каждого банка или инвестиционной компании. Хотя в течение последних полутора лет мы наблюдаем отрадную тенденцию. Все больше и больше банков создают в своей структуре подразделение, отвечающее за обеспечение именно информационной безопасности (ИБ). Но, как любой новорожденный, такое подразделение имеет большую голову и короткие руки. То есть они могут думать об организации ИБ все что угодно, но своего бюджета на обеспечение ИБ у них, как правило, нет и ничего самостоятельно они сделать не могут. В большинстве случаев, им отводится роль исполнителей чужих распоряжений. Насчет аутсорсинга. Сейчас уже очевидно, что создать квалифицированную службу информационной безопасности в любой структуре достаточно тяжело. И банки здесь не исключение. Поэтому банки стоят перед нелегким выбором - либо делать все самим, либо какую-то часть работ отдавать сторонним организациям. Здесь все зависит от целеполагания. Если интересует экономия средств - первый вариант имеет явные преимущества. Если же важнее сроки и результат - то второй вариант предпочтительнее. В аутсорсинге явно прослеживаются две основные тенденции. Постепенно увеличивается спрос банков на консалтинговые услуги, особенно в части анализа состояния безопасности технологических процессов. Оно и понятно - слишком велика цена ошибки при построении системы информационной безопасности. Спрос же на удаленное управление средствами защиты, то, что на Западе именуется "Managed Security Services", пока незначителен. Банки пока не готовы отдать собственные средства защиты в руки представителей сторонних организаций. CNews.ru: Какие решения в сфере ИБ пользуются наибольших спросом в банковских и финансовых компаниях? Как изменяются запросы этого сектора в течение последних нескольких лет? Владимир Гайкович: Наибольшим и устойчивым спросом на протяжении последних лет пользуются решения в области ЭЦП (электронная цифровая подпись, Прим. ред.). В основном по причине широкого использования системы "Банк-Клиент" и ускорения оборота платежных документов. Пока еще потребность банков в оказании им услуг по ЭЦП полностью не удовлетворена и, скорее всего, в течение следующих нескольких лет эти решения будут наиболее популярны в банковском секторе. Катализатором роста спроса на решения в области ЭЦП вполне может стать "Закон об ЭЦП". Во всяком случае, количество обращений к нам по поводу организации удостоверяющих центров возросло в разы, если не на порядок. Если эти обращения перерастут в реальные контракты - тогда можно будет говорить о явной тенденции. Вполне устойчив спрос на решения по защите телекоммуникационной инфраструктуры - межсетевые экраны, средства организации VPN, системы обнаружения атак. Причинами этого являются появление услуг, предлагаемых банками через Internet, и расширение филиальной сети банков. Скорее всего, эта тенденция не изменится еще несколько лет. Как я отмечал ранее, средним устойчивым спросом последние два года пользуются консалтинговые услуги, особенно в части проектирования подсистем информационной безопасности. В фазе формирования находится спрос на решения по интегрированному управлению средствами защиты. Мы предполагаем его рост в следующие несколько лет. CNews.ru: Какая часть ваших клиентов приходится на банки и финансовые структуры? Владимир Гайкович: Доля продаж услуг и продукции нашей компании банкам и финансовым структурам составляет 27%. CNews.ru: Каков верхний порог стоимости проектов в сфере информационной безопасности, после которого банки, страховые и инвестиционные компании не готовы продолжать переговоры? Владимир Гайкович: По нашим оценкам, верхний порог стоимости таких проектов около 500 тыс. долларов. Эта цифра включает в себя полный перечень работ по обследованию, оценке рисков, проектированию, поставке средств защиты информации, их установке и настройке. Проект, который стоит более 500 тысяч, по нашему мнению, не может быть реализован именно как проект по безопасности. У такого дорогого проекта должен быть иной статус. Такой проект может быть связан только с изменением информационных технологий в целом и составной частью может включать в себя инфраструктуру информационной безопасности. CNews.ru: Каков объем рынка ИБ в банковской и финансовой сферах в России в 2001 году? Каковы прогнозы на ближайшие годы? Владимир Гайкович: По нашему мнению, объем рынка ИБ в банковском и финансовом секторе в 2001 году составляет около 5 млн. долларов. В расчете не учтены закупки Банка России, а также затраты компаний этого сектора на средства антивирусной защиты. При сохранении благоприятного экономического климата объем рынка будет только расти. Причем как в силу законодательных инициатив власти, так и в силу "взросления" подразделений ИБ банков. CNews.ru: Говоря не о технической части, а о бизнес-составляющей. Некоторое время назад, Президент Путин, отвечая на вопрос о банковской тайне, высказал сомнения в том, что банковская тайна вообще когда-нибудь была. Вы никак не относите это заявление власти к той деятельности, которой вы занимаетесь? Тут нет никакого противостояния? Владимир Гайкович: Наша компания занимается бизнесом, а не политикой. Поэтому мы не комментируем высказывания любых официальных лиц государства. Что касается вашего вопроса о противостоянии. До сих пор ни одна государственная структура не обращалась к нам с предложением модифицировать наши программные или аппаратные средства защиты с целью контроля за теми, кто эти средства использует. Кроме того, ни один известный нам документ Гостехкомиссии или ФАПСИ не предусматривает реализацию таких возможностей при проектировании средств защиты. При разработке наших средств защиты мы используем "модифицированное правило Кирхгофа". Безопасность должна базироваться на знании некоторого секретного элемента, а не на скрытии алгоритмов функционирования. Наши клиенты сами назначают необходимые права доступа, пароли, генерируют ключи шифрования и т.д. Поэтому после продажи наши средства управляются только теми, кто их приобрел. Я не вижу даже повода для какого-то противостояния между разработчиками средств защиты, их клиентами и государством. CNews.ru: Банки никогда не рассказывают о тех проблемах, которые у них возникают в сфере информационной безопасности. Не называя имен, расскажите несколько "ужасных случаев" взломов, похищений данных или их потери. Чтобы все испугались. Или таких случаев в российской практике мало? Владимир Гайкович: Случаи хищения данных, их потери - были, есть и будут. Совершенно естественно желание банков скрывать данные факты, так как они бьют по репутации значительно больнее, чем по карману. Вспомните "дело Левина". Прямой ущерб - незначительный, потери для имиджа - огромны и трудновосполнимы. По этому вопросу позиция нашей компании такова. Мы ни при каких условиях не предаем гласности сведения о клиентах, ставшие известными нам как при выполнении работ, так и иным образом. Для нас главное - это спокойная жизнь наших клиентов. CNews.ru: На прошедшей недавно суздальской конференции эксперты говорили о том, что в России нет организованного противодействия преступности в сфере ИБ. Можно ли говорить о том, что в стране действуют группы, специализирующиеся на получении доступа к закрытой информации финансовых и кредитных организаций? Или это все на уровне случайных недоучившихся студентов? Владимир Гайкович: У меня нет достоверных сведений о существовании организованных групп, специализирующихся на получении доступа к закрытой информации финансовых и кредитных организаций. В то же время не могу согласиться с мнением коллег о том, что в России нет организованного противодействия преступности в сфере IT-технологий. Что же тогда представляет собой Управление "Р" МВД РФ? Разве это не орган такого противодействия? Можно, конечно, обсуждать эффективность работы этой структуры. Однако сама структура есть и создавалась, вообще говоря, именно для решения подобной задачи. В то же время нежелание банков афишировать случаи хищения средств может служить препятствием в организации противодействия преступности. CNews.ru: Расскажите о наиболее интересных проектах, реализованных вашей компанией в банковской сфере. Владимир Гайкович: Политика нашей компании такова, что мы не предаем гласности сведения о том, для кого из наших клиентов были выполнены конкретные работы. Мы сознательно жертвуем возможным PR-эффектом ради сохранения рабочих отношений с заказчиком. К числу интересных проектов я бы отнес, во-первых, проект системы безопасности платежной подсистемы крупного банка. Во-вторых - экспертизу реально работающей системы интернет-банкинга в одном из крупнейших банков России. В третьих - проект подсистемы ИБ крупной транспортной компании, включая проект системы управления безопасностью территориально распределенной корпоративной сети. CNews.ru: Спасибо. Информационная безопасность бизнеса: основные проблемыСегодня уже практически нет необходимости убеждать компании, активно использующие для ведения своего бизнеса современные информационные технологии, в необходимости обеспечения безопасности своих информационных систем. Проблема защиты конфиденциальной информации компании, обеспечения бесперебойной работы корпоративной информационной системы, контроля целостности платежных документов, финансовой и другой критичной для бизнеса информации становится все более актуальной с ростом использования Internet для осуществления коммерческих операций. О компании "Информзащита"Научно-инженерное предприятие "ИНФОРМЗАЩИТА" основано в 1995 году и в настоящее время является одной из ведущих компаний России, специализирующейся на оказании услуг в области проектирования, разработки и внедрения решений по обеспечению информационной безопасности современных автоматизированных систем различного назначения и уровня сложности. Компания обладает большим практическим опытом и передовыми методиками проведения проектных работ по информационной безопасности, основанных как на российских, так и на зарубежных стандартах и методических материалах. Вернуться на главную страницу обзора
|