|
|
Обзор подготовлен
При поддержке
Информатизация государственных ведомств делает все более актуальной проблему обеспечения сохранности и безопасности имеющихся данных. О том, какие изменения произошли на рынке информационной безопасности в последние годы, чего приходится ожидать в ближайшее время в государственном секторе этого направления информатизации, какие технологии будут наиболее востребованы рассказал в интервью CNews Алексей Сабанов, коммерческий директор компании Aladdin Software Security .
CNews: Степень информатизации государственных ведомств растет с каждым годом. Как вы оцениваете достигнутый уровень информационной безопасности в госсекторе? Насколько, на ваш взгляд, принимаемые меры защиты информации эффективны и достаточны? Какие шаги необходимо предпринять в первую очередь в целях обеспечения сохранности данных в госсекторе?
Алексей Сабанов: Оценка уровня информационной безопасности в государственном секторе является прерогативой уполномоченных организаций. Кроме того, для понимания общей картины степени информатизации имеет смысл воспользоваться независимыми рейтингами. Так, в рейтинге «Эксперта» «Российские информационные и коммуникационные технологии, 2007г., рейтинг ИТ-компаний» впервые доля госсектора с точки зрения спроса на продукцию и услуги ИТ-компаний составила 25,1%, что позволило этому сегменту выйти на первое место, обогнав традиционных лидеров – финансовый сектор.
Исходя из собственного достаточно обширного опыта работы компании Aladdin в госсегменте, в органах власти всё еще слишком велика доля организационных и режимных мер. А поскольку человек, будь он сотрудником коммерческой компании или госслужащим, всегда был и остаётся слабым звеном в любой системе защиты, эти меры на практике оказываются недостаточно надежны. Именно поэтому доля технических средств в системе информационной безопасности должна быть увеличена соразмерно риску, связанному с пресловутым «человеческим фактором». Снижение этого риска и есть самый важный шаг, который необходимо предпринять для обеспечения сохранности данных, которыми оперируют государственные предприятия.
На мой взгляд, наиболее уязвимыми являются два участка: «пользователь – ПК» и «пользователь – сеть интернет». В первом случае, речь идёт об усилении контроля за доступом пользователей к информационным ресурсам госорганов за счет применения средств строгой аутентификации. Меры по обеспечению безопасной работы в сети интернет предполагают использование технологий аутентификации, шифрования, ЭЦП, ограничения доступа к категоризированным ресурсам, контентной фильтрации, блокирования ряда непрофильных приложений (интернет-пейджеров, менеджеров для скачивания потокового аудио, видео и др.). Особое внимание следует уделить защите от так называемых шпионских приложений (spyware).
CNews: Какие государственные ведомства в настоящее время, на ваш взгляд, уделяют наибольшее внимание защите конфиденциальной информации – финансово-экономические, силовые, социальный блок?
Алексей Сабанов: Если иметь в виду «среднюю температуру по больнице», из перечисленных блоков на первом месте – силовые, на втором – экономические и замыкающий блок – социальный. Наверное, это во многом объясняется тем, что в силовом блоке накоплен значительный опыт по защите, прежде всего, гостайны. Возможно, в части защиты именно конфиденциальной информации финансово-экономические структуры могут поспорить за первое место с силовиками, поскольку достаточно хорошо умеют считать риски, в том числе и от утечки банковской информации.
Упомянутый в вопросе социальный сектор является наименее защищенным по ряду причин, среди которых отсутствие должного финансирования из государственного кармана, низкая квалификация персонала в области ИБ и сравнительно невысокая приоритетность самой задачи по обеспечению защиты информационных ресурсов социальных структур. Однако, принимая во внимание рост прецедентов по утечкам конфиденциальной информации в том числе и вследствие краж баз персональных данных из социальных учреждений, мы надеемся, что в ближайшей перспективе отношение к проблеме ИБ в социальном блоке будет пересмотрено. И вслед за другими государственными структурами медицинские, образовательные, воспитательные, природоохранные и другие социальные учреждения будут иметь собственные политики информационной безопасности и соответствующее им техническое оснащение.
Для нас сейчас еще рано говорить о широкомасштабной работе с социальным сектором, однако проекты внедрения продуктов Aladdin в этой отрасли уже были проведены нами и нашими партнёрами. Так, один из таких проектов был реализован бизнес-партнером Aladdin - компанией BCC, которая в апреле этого года завершила проект по модернизации информационной инфраструктуры Юридического факультета Санкт-Петербургского государственного университета. В рамках проекта, выполненного с применением продуктов и технологий корпорации Microsoft и средств аутентификации eToken от Aladdin, факультет получил одну из наиболее совершенных информационных систем, функционирующих в российских государственных высших учебных заведениях. В целях поддержки образовательного процесса были установлены десятки терминалов со считывателями смарт-карт для публичного доступа к библиотеке факультета и развернута система аутентификации по смарт-картам eToken, обеспечивающая защищенный доступ всех студентов и аспирантов к факультетскому Web-порталу.
CNews: Какая информационная система может считаться надежно защищенной? Каково, на ваш взгляд, оптимальное соотношение аппаратных, программных и организационных средств обеспечения безопасности и целостности информации?
Алексей Сабанов: Если коротко, то информационная система может считаться действительно защищенной, если уровень остаточных информационных рисков является приемлемым.
На степень уязвимости системы влияет множество факторов, от специфики которых по большому счёту и зависит соотношение аппаратных и программных средств, а так же организационных мер при работе с персоналом.
Мировой опыт по оптимальному соотношению используемых технических и организационных мер сосредоточен в ряде общих и отраслевых стандартов.
CNews: Существующие решения, используемые для защиты информации в гос.секторе, как правило, покрывают лишь определенную функциональность, что приводит к фрагментации инфраструктуры, что обуславливает снижение уровня безопасности в целом и увеличение затрат на обслуживание и обновление системы. Как вы видите возможный выход из создавшегося положения?
Алексей Сабанов: Крайне важную, если не основную роль в планировании, проектировании, построении и развитии эффективной системы информационной безопасности играют CIO (ИТ-директор) и CSO (руководитель ИБ), который зачастую совмещает в себе и роль архитектора системы защиты. Именно от его квалификации, опыта, степени понимания проблемы и специфики работы предприятия зависит корректность интеграции решений различных производителей для решения поставленных целей. Требования CSO к отбору систем, предназначенных к внедрению, неуклонно растут. Наш опыт показывает, что вновь устанавливаемые решения проходят жесткий конкурс на способность интегрировать существующие системы и предоставлять открытые интерфейсы для дальнейшей интеграции.
Таким образом, повышение уровня защиты для госпредприятий в настоящее время может достигаться с помощью внедрения инновационных технологий защиты, покрывающих все больший и больший функционал, и отличающихся все более развивающимся универсализмом и переносимостью (независимостью от платформ). При этом в соответствии с законодательством необходимо применять исключительно сертифицированные средства защиты. Соответствующие требования уже используются конкретными исполнителями работ – системными интеграторами, работающими в госсекторе.
CNews: Госсектор занимает значительное место на отечественном рынке информационной безопасности. Как развивается направление информатизации госструктур в компании Aladdin? Какие решения вы предлагаете в этом направлении?
Алексей Сабанов: Госсектор всегда входил и входит в число приоритетных для Aladdin. На данный момент в структуре компании существуют отдельные рабочие группы, специализирующиеся на работе с государственными органами. Мы разработали и проводим ряд обучающих мероприятий для специалистов из числа госзаказчиков, а также партнёров, работающих с этим рынком. Aladdin регулярно организовывает масштабные конференции по информационной безопасности с участием представителей органов государственной власти. Цель таких мероприятий мы видим в организации конструктивного диалога между представителями разработчиков, контролирующих органов, интеграторов, тех лицензиатов ФСТЭК, кто проводит аттестацию информационных систем, и представителей государственных структур.
Aladdin делает ставку на технологии по обеспечению информационной безопасности, соответствующие требованиям российского законодательства, что, в свою очередь, является обязательным условием для применения их в информационных инфраструктурах госпредприятий, министерств и ведомств. Так, на данный момент, сертификацию во ФСТЭК прошли все основные классы решений Aladdin, являющиеся основой ключевых направлений деятельности компании. В частности, завершена сертификация всей продуктовой линейки аппаратных средств аутентификации eToken, включая eToken PRO, eToken NG-OTP, eToken NG-FLASH.
Сертифицированы персональная и серверная версии продуктов для защиты конфиденциальной информации и персональных данных – Secret Disk и Secret Disk Server NG. Стратегически важным этапом в реализации сертификационной политики, принятой в Aladdin, стало прохождение сертификационных испытаний для системы управления жизненным циклом смарт-карт и USB_токенов TMS и для системы контентной фильтрации и очистки трафика от вредоносного ПО eSafe. На сегодняшний день на российском рынке eSafe является единственным решением, имеющим сертификат ФСТЭК, способным осуществлять контентную фильтрацию почтового и Web-трафика на уровне сетей провайдера.
Планомерная работа в направлении адаптации продуктов Aladdin для отечественного рынка и сертификации по требованиям регуляторов приносит ощутимые результаты: в 2007 году объемы поставок сертифицированных изделий в госорганы вырос в три раза, что на наш взгляд является серьёзным достижением и хорошим показателем динамики этого рынка.
От внедрения отдельных продуктов Aladdin активно переходит к интеграционным проектам, в основе которых – комплексные решения по информационной безопасности, ориентированные на удовлетворение потребностей заказчика и базирующиеся на сертифицированных продуктах компании.
CNews: В России создание национального пространства доверия на базе инфраструктуры открытых ключей некоторое время назад взяло на себя Федеральное агентство по информационным технологиям. Насколько с тех пор изменилась ситуация в этой сфере? Необходимо ли ускорить этот процесс?
Алексей Сабанов: Идея ФАИТ по созданию национального пространства доверия на базе инфраструктуры открытых ключей всегда поддерживалась прогрессивными разработчиками ИБ-решений и компанией Aladdin, в частности. Мы регулярно поднимаем эту тему на собственных мероприятиях и в рамках профильных конференций, участвуем в обсуждении возможностей технологической реализации, привлекаем представителей заинтересованных структур к участию в специализированных дискуссиях относительно создания инфраструктуры УЦ РФ.
Конечно, мы заинтересованы в ускорении процесса создания национального пространства доверия, но, вместе с тем, мы прекрасно понимаем все политические, организационные и технологические сложности, которые пока ещё являются существенными сдерживающими факторами для полноценного воплощения в жизнь идеи ФАИТ.
Широкое распространение технологий PKI открывает новые перспективы не только для развития электронного документооборота и защищенных сервисов (в том числе ЭЦП) на территории нашей страны. Это ещё и важный аспект для сотрудничества участников внешнеэкономической деятельности, заинтересованных в развитии инфраструктуры трансграничного информационного обмена, имеющего юридическую силу, для оптимизации логистических процедур экспорта и импорта.
CNews: Как вы оцениваете российский рынок аппаратных средств для хранения ключей: токенов (автономных токенов, USB-токенов и электронных ключей) и смарт-карт? Какое влияние на развитие этого сегмента рынка оказывает госсектор? Какие из указанных технологий наиболее востребованы в госсекторе?
Алексей Сабанов: На вопрос «как» хочется ответить – «хорошо» и «регулярно». А если серьёзно, основным достижением рынка аутентификации в России, пожалуй, следует назвать его взросление, переход к этапу зрелости. Общими усилиями вендоров, а также ряда прогрессивных заказчиков из числа тех, кого мы внутри компании называем «пионерами освоения» и «локомотивами рынка», наконец достигнуто понимание того, что парольная аутентификация привычна, но ненадёжна, дорога в обслуживании и низкоэффективна.
Постепенная зрелость сетевой архитектуры российских организаций, внедрение PKI, AD, использование цифровых сертификатов, использование современного ПО (PKI-based) стали важными факторами для развития рынка аутентификации, как одного из ключевых сегментов рынка информационной безопасности в нашей стране. Смене мировоззрения руководителей отечественных бизнес- и госструктур, с одной стороны, способствовал рост числа инцидентов и резкое увеличение ущерба от неавторизованного доступа, а с другой - объективные требования сегодняшнего дня: мобильность, удаленная работа, удобство и безопасность.
Структуру рынка по типу средств аутентификации можно представить в виде следующей диаграммы:
Как показано на диаграмме, вопреки прогнозам ряда вендоров, и нашему в том числе, доля смарт-карт так и не приблизилась к доле рынка USB-токенов, которые на данный момент окончательно закрепили за собой позицию ведущего форм-фактора используемых в России средств аутентификации. Об этом можно говорить с уверенностью, поскольку возраст самого рынка уже приближается к семилетнему юбилею, определены ведущие игроки, занимающие около 80% рынка, постепенно набирают обороты крупные комплексные проекты (поставки до 1 млн. изделий) по внедрению централизованных систем аутентификации.
Если говорить об основных игроках рынка аутентификации, то здесь Aladdin является пионером и лидером, последние годы сохраняющим за собой не менее 70% рынка. На наш взгляд, значительную роль в удерживании компанией позиции лидера играют такие факторы, как высокая технологичность продуктов Aladdin, инновационный подход к созданию инфраструктуры аутентификации, включающей как сами устройства, так и средства централизованного управления их жизненным циклом, наличие у Aladdin сертификатов ФСТЭК и лицензий ФСБ (в том числе, на проведение работ с использованием сведений, составляющих государственную тайну, и на разработку шифровальных средств), а также активная публичная деятельность компании не только по продвижению собственных продуктов, но и по развитию самого рынка.
CNews: В последние несколько лет получила значительное развитие инфраструктура удостоверяющих центров для сдачи государственной отчетности посредством инструментов электронного взаимодействия в налоговые органы, Пенсионный фонд, органы Росстата, Федеральной службы по тарифам. Как вы оцениваете роль и значение этого фактора для развития сектора рынка ИБ для гос.структур? Какие продукты, в этой связи предлагает ваша компания, и как вы участвуете в развитии инфраструктуры такого рода УЦ?
Алексей Сабанов: Вы когда-нибудь видели очередь бухгалтеров при сдаче отчёта по балансу в районном едином расчётном центре? Требования о сдаче налоговой отчетности в электронном виде, безусловно, заслуживает самой положительной оценки и является прямым доказательством того, что, да, государство влияет на развитие рынка информационной безопасности, и в данном случае – стимулирует его. В отличие от западной практики, где организации могут вступить в альянсы – реально работающие и продвигающие определенные технологические идеи, инновационные концепции, в России пока эффективно работает командный тип экономики. И это прекрасно, когда требования «свыше» совпадают с ожиданиями рынка, что позволяет ему развиваться.
Как вендор, находящийся в авангарде развития рынка средств аутентификации и хранения ключевой информации, мы приветствуем подобные шаги со стороны государственных органов и готовы способствовать их претворению в жизнь, реальному использованию ИТ в целях совершенствования электронного документооборота, повышению уровня его защиты и информационной безопасности. Для этой цели мы готовы предложить не только технические средства, надёжность которых подтверждена соответствующими сертификатами. Исторически сложилось, что в качестве общественной нагрузки мы ведем активную деятельность по популяризации технологий аутентификации, защиты конфиденциальной информации и персональных данных.
В конце концов, как было сказано выше, статус компании-лидера, по нашем мнению, определяется не только его долей на рынке, сколько в том, чтобы дать возможность компаниям, независимо от квалифицированности и капиталоёмкости, активно применять средства информационной безопасности в своей деятельности, делая её более эффективной, экономичной и вместе с тем безопасной. Именно поэтому, создавая собственные ИБ-решения и адаптируя лучшие западные разработки под нужды российского заказчика и требования отечественного рынка, мы успешно добиваемся намеченных целей.
CNews: В чем особенности внедрения технологий информационной безопасности в госсекторе, по сравнению с аналогичными проектами в коммерческих структурах?
Алексей Сабанов: Уровень понимания проблематики, способность адекватно оценить специфику задачи, а также качество подготовки специалистов по информационной безопасности в государственном секторе на данный момент выше, чем в коммерческом. Однако, «на местах» - в филиалах, представительствах – он, напротив, весьма невысок. В коммерческих же структурах такого резкого перепада в квалификации может не наблюдаться.
Еще одной известной особенностью является то, что в коммерческих структурах сроки внедрения более сжаты, по сравнению с аналогичными работами в государственных структурах.
CNews: Каков, на ваш взгляд, прогноз развития российского рынка ИБ в 2008-2010 годах? Как будет развиваться сегмент PKI применительно к органам государственной власти? Каковы планы компании Aladdin на ближайшие годы в этой области?
Алексей Сабанов: Исходя из данных различных отчетов по итогам 2007 года, в России рынок ИБ растет опережающими темпами по сравнению с ИТ-рынком в целом. На наш взгляд, эта тенденция сохранится, в частности, за счёт роста объемов ИТ-услуг и передачи некоторых типов работ в области информационной безопасности на аутсорсинг. Что касается планов Aladdin, то мы прогнозируем рост бизнеса в целом с опережением темпов роста рынка. К слову, эта тенденция для Aladdin является определяющей последние 5 лет.
«Сегмент PKI» - понятие очень размытое, особенно применительно к органам государственной власти. Однако, понимая необходимость развития и распространения технологий PKI для реализации ряда государственных программ и обеспечения необходимого уровня ИБ в органах госвласти в целом, мы надеемся, что в ближайшей перспективе будут предприняты конкретные шаги со стороны государства для создания интегрированной инфраструктуры Удостоверяющих Центров РФ, которая, в свою очередь, даст стимул для широкого применения технологий на базе PKI в нашей стране.
В этой связи планы Aladdin – быть «на передовой» и приложить максимум усилий для внесения своего вклада в построение надёжной и эффективной системы информационной безопасности России, базирующейся на инфраструктуре открытых ключей. Для этого у Aladdin есть соответствующие технологии, опыт и возможности.
CNews: Спасибо.