АйТи

Сергей Кухтин: Западный и российский подходы в использовании PKI-систем различны

Сергей Кухтин 
Интервью CNews. ru дал Сергей Кухтин, руководитель центра компетенций по информационной безопасности компания АйТи. Специалист рассказывает о стратегии системных интеграторов в развитии услуг в сфере защиты информации.

CNews. ru: Считается, что компании интеграторы занимаются вопросами защиты информации только факультативно в рамках комплексных проектов. Насколько направление защиты информации значимо для всего бизнеса компании «АйТи»?

 
Сергей Кухтин: Для системных интеграторов такого уровня как АйТи, решения в области защиты информации давно уже вышли за рамки факультативного направления. Динамика этого развития наглядно прослеживается на истории нашей компании. Так, в 1992 году, когда отечественные предприятия стали осознавать реальную ценность имеющейся в их распоряжении информации, у системных интеграторов появились первые заказчики, заинтересованные в повышении защищенности своих информационных систем. В 1996 г., когда рынок ИБ был практически сформирован, у крупных системных интеграторов появилась необходимость в углублении своих компетенций. Именно тогда в составе АйТи было сформировано подразделение, в штат которого вошли опытные профессионалы, обладающие необходимыми компетенциями в области защиты информации. Сегодня практически каждый проект в области создания или развития информационной системы подразумевает наличие работ по обеспечению ее защиты. Причем чем сложнее и, соответственно дороже ИТ-решение, тем выше требования к обеспечению информационной безопасности.

Что касается места информационной безопасности в бизнесе АйТи, то сегодня она является одним из наиболее динамично развивающихся направлений в компании. Для того, чтобы наиболее эффективно решать задачи стратегического и оперативного развития направления информационной безопасности, как в комплексных проектах, так и в качестве отдельных решений в АйТи недавно был создан Центр компетенции по информационной безопасности.

CNews. ru: Какая доля в общем объеме доходов приходится на это направление?

Сергей Кухтин: На долю информационной безопасности сегодня приходится около 10% оборота инфраструктурного бизнеса АйТи. В ближайшее время по мере развития основного бизнеса АйТи этот показатель будет пропорционально расти.

CNews. ru: Помимо межсетевых экранов какие еще решения в сфере защиты информации сегодня востребованы вашими клиентами?

Сергей Кухтин: В первую очередь, это системы антивирусной защиты. Наряду с межсетевыми экранами они являются минимальным «джентльменским» набором систем ИБ. Востребованы на рынке системы создания виртуальных частных сетей, защищенные системы электронного документооборота, в том числе юридически значимого; системы обнаружения вторжений и аномалий; интеллектуальные системы работы с инцидентами; классические системы защиты от НСД и многое другое.

Кроме того, сотрудники АйТи оказывают услуги по аудиту информационных систем, разработке концепций информационной безопасности, анализу информационных рисков согласно ISO 17799; а также выполнению работ по оценке и управлению совокупной стоимостью владения (TCO), планированию и управлением бюджетом на информационную безопасность согласно методикам TCO и ROI компании Gatner Group.

CNews. ru: Как вы оцениваете перспективы развития в России PKI-систем? Насколько рынок готов делать значительные инвестиции в системы на основе ЭЦП?

Сергей Кухтин: Рынок средств PKI в России находится в начале своего пути, причем западный и российский подходы несколько различаются. На Западе системы PKI применяются в самом широком спектре решений — от VPN (Virtual Private Networks) до защиты программных модулей и электронной почты. Система единых стандартов позволяет объединять решения различных производителей.

В России же PKI в настоящее время рассматриваются в первую очередь как схема управления документооборотом с использованием ЭЦП, что лишь частично реализует ее возможности. По мнению специалистов АйТи переломный момент в развитии этого сегмента наступит после принятия государственных нормативов в этой области. Первым шагом стал закон об ЭЦП, но его следует подкрепить руководящими техническими документами, которые позволят объединить разрозненные усилия отдельных производителей и системных интеграторов.

Несколько реализованных полномасштабных проектов АйТи по различному применению систем PKI говорят о тенденции к пониманию заказчиком более широких возможностей системы.

CNews. ru: Можете ли вы привести примеры реальных инцидентов в России, когда бизнес или государственные структуры пострадали от отсутствия надежной системы защиты информации (не считая вирусов)?

Сергей Кухтин: В условиях рыночной экономики ценность информации неуклонно растет, поэтому количество атак на информационную систему все время возрастает. Причем попытки несанкционированного вмешательства становятся все более разнообразными: злоумышленники используют уязвимости все уровни информационной системы — от технического до административного. В подтверждение своих слов приведу несколько примеров, получивших огласку:

По сообщению «Известий», в один из выходных дней «на главной странице Центра управления полетами появилась надпись „Windows Rulezzzz“. Взломщики воспользовались временным административным паролем. … Никакие сведения похищены не были, а базы данных, содержащиеся на сервере, не пострадали».

Однако не всегда все заканчивается так хорошо. В свое время, в СМИ прошла информация, предоставленная исполняющим обязанности начальника управления «Р» МВД полковником Константином Мачабели о том, что «…злоумышленники осуществили несанкционированный доступ к компьютерной сети „Газпрома“ и временно получили полный контроль над газовыми потоками».

И еще один пример. Как сообщило агентство «Росбизнесконсалтинг» осенью сентября 2000 г. «компания Western Union, специализирующаяся на денежных переводах, объявила о том, что из-за „человеческого фактора“ неизвестному злоумышленнику удалось скопировать информацию о кредитных карточках около 15,7 тысяч клиентов ее Web-сайта. Представитель Western Union сообщил, что взлом произошел, когда во время проведения регламентных работ были открыты системные файлы, доступ к которым во время штатной работы сайта имеют только администраторы».

CNews. ru: Одним из наиболее заметных событий на рынке защиты информации стало упразднение ФАПСИ. Насколько тесно компании интеграторы взаимодействовали с этим ведомством?

Сергей Кухтин: Рынок информационной безопасности достаточно специфичен, и одной из его особенностей является тесная работа с регулирующими органами — ФАПСИ, Гостехкомиссией, ФСБ. Необходимо получение ряда лицензий, без которых невозможно работать на рынке информационной безопасности в принципе. Кроме этого, АйТи осуществила и осуществляет ряд проектов, связанных с государственной тайной. Степень взаимодействия с ФАПСИ здесь была и остается достаточно тесной.

CNews. ru: Каков сегодня порог стоимости работ по защите информации в России, после которого клиенты «АйТи» не готовы вести переговоры?

Сергей Кухтин: Сегодня наши заказчики готовы инвестировать в информационную безопасность от 10 до 30 процентов от ИТ-бюджета. Причем верхний предел характерен для немногих зрелых компаний, работающих на высококонкурентных рынках. Вообще же у каждой отрасли существует свой уровень приемлемых затрат на информационную безопасность, который напрямую зависит от значимости информации для обеспечения конкурентоспособности в данном сегменте. Так, для финансовых организаций этот порог будет заметно выше, чем для промышленных предприятий. Для того чтобы определить необходимый уровень затрат на ИБ, надо сначала провести оценку стоимости информационных активов заказчика — чем она выше, тем больше средств тратится на защиту информации. Поэтому тут было бы корректнее говорить о необходимости реализации комплексной системы защиты информации, которая сама по себе — структура модульная, и в определенной степени ранжируемая по востребованности ее компонент.

Основываясь на многолетнем опыте работы на рынке информационной безопасности, мы различаем три пороговых уровня потребностей в системах защиты информации. Компаниям, относящимся к первому из них, достаточно использования межсетевого экрана и антивирусной системы. Представим теперь, что организация расширяется, растут обороты, растет риск, связанный с хищением, искажением, уничтожением корпоративной информации. Возникает потребность перехода на следующий уровень безопасности, которому свойственно использование таких решений, как системы обнаружения вторжений, отслеживающие и пресекающие хакерские атаки; различные сетевые сканеры, имитирующие действия хакеров для обнаружения наиболее уязвимых мест в корпоративной системе защиты; системы разграничения доступа для разных категорий сотрудников; виртуальные частные сети, позволяющие безопасно передавать трафик через интернет и т. д.

Чтобы правильно определить те из них, которые наиболее полно соответствуют задачам в области ИБ, и избежать необоснованных затрат, необходимо провести аудит ИС, разработку концепции безопасности, анализ рисков. Это осознает все большее количество руководителей, что подтверждает стремительный рост рынка консалтинговых услуг в области информационной безопасности.

К третьей категории заказчиков мы относим крупные организации, использующие большое количество устройств и разнородных систем ИБ. Для эффективной работы столь сложной структурой необходимо внедрение системы управления безопасностью, которая позволяет объединить и централизованно управлять всем парком систем ИБ.

CNews. ru: Какие наиболее крупные проекты в сфере защиты информации были реализованы «АйТи» за последнее время?

Сергей Кухтин: К числу наиболее значимых проектов АйТи в области информационной безопасности можно отнести внедрение системы юридически значимого документооборота в Магнитогорском металлургическом комбинате, работы в МНС и Минатоме и другие.

CNews. ru: Какие тенденции на рынке защиты информации будут ключевыми в ближайшие годы?

Сергей Кухтин: По нашему мнению, в ближайшие годы будет продолжать расти востребованность в централизованном управлении системами информационной безопасности; управлении информационными рисками; ERP и CRM в защищенном исполнении, одним из элементов которых является система защищенного электронного документооборота.

CNews. ru: Спасибо.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS