Обзор подготовлен |
|
|
Андрей Калашников: «Общие критерии» облегчают доступ иностранных продуктов на российский рынок ИБ
О том, чего стоит и чего не стоит ожидать от «общих критериев», о ключевых тенденциях и перспективах рынка информационной безопасности в России в интервью CNews.ru рассказал Андрей Калашников, директор Отделения информационной безопасности компании IBS.
CNews.ru: Назовите основные, на ваш взгляд, «рыночные развороты», которые повлияли на развитие рынка защиты информации в России в 2003 году?
Андрей Калашников: Говоря о рынке защиты информации, необходимо отметить, что, с одной стороны, он является частью общего ИТ-рынка и поэтому в нем проявляются характерные черты, свойственные последнему, а с другой рынок информационной безопасности обладает своими собственными особенностями и тенденциями.
С точки зрения рынка в целом, можно констатировать качественные изменения в уровне требований заказчика к содержанию работ исполнителя. Если раньше многие проекты концентрировались на подготовке спецификации на поставку средств защиты, то теперь можно говорить о реальной комплексности создаваемых систем защиты. За последние годы постепенно возрастает количество проектов «полного цикла», включающих аудит, разработку технического задания, проектирование и сдачу объекта в промышленную эксплуатацию.
Другой тенденцией можно считать все возрастающую частоту глобальных вирусных эпидемий и объем причиненного при этом ущерба, как единичного, так и суммарного. В совокупности с ростом числа уязвимостей, обнаруживаемых, в том числе, в продуктах всемирно известных фирм-разработчиков средств защиты информации, эта тенденция не может не настораживать.
В целом же, 2003 год можно считать годом достаточно спокойного и последовательного роста рынка защиты информации.
CNews.ru: В соответствии с указом президента «О системе и структуре федеральных органов исполнительной власти» Государственная техническая комиссия при президенте РФ преобразована в Федеральную службу по техническому и экспортному контролю РФ. Как вы можете прокомментировать данное событие? И как это событие, на ваш взгляд, отразится на рынке защиты информации России?
Андрей Калашников: Для того чтобы говорить о тех или иных возможных тенденциях в области лицензирования и сертификации информационной безопасности, необходимо рассматривать не отдельно взятый указ, а всю совокупность нормативных документов, вышедших за последний год, начиная с указов об упразднении ФАПСИ, законов «О техническом регулировании» и «О связи» и заканчивая постановлением правительства Российской Федерации «Вопросы Министерства транспорта и связи».
В этой череде документов указ о преобразовании ГТК при президенте Российской Федерации в Федеральную службу по техническому регулированию и экспортному контролю Российской Федерации при Министерстве обороны является не первым и уж точно далеко не последним.
Поэтому я полагаю, что, пока не возникнет достаточной ясности с зонами ответственности регулирующих органов, которые должны определяться в соответствии с их положениями и соответствующими федеральными законами, таких кардинальных изменений, как упразднение лицензирования компаний, работающих в сфере ЗИ, не произойдет.
CNews.ru: Совместимость ИСО 154082002 с международным стандартом облегчит выход отечественных разработчиков на мировые рынки со своими решениями. В какой, на ваш взгляд, степени российским компаниям интересно осваивать международные рынки в настоящее время, ведь многие компании еще не смогли основательно закрепиться на внутреннем рынке?
Андрей Калашников: Мне кажется, что данный вопрос поставлен излишне оптимистично. Российских производителей средств защиты информации, готовых к выходу на зарубежные рынки, в настоящее время очень немного. Ярким примером успешного выхода на мировой рынок является «Лаборатория Касперского», продукция которой пользуется спросом во многих развитых странах мира, однако этот факт, скорее, определяется особенностями продукта, а не наличием сертификата.
Что же касается сертификации по ИСО 154082002, то тут вопросов пока больше, чем ответов. Например, воспримет ли мировое сообщество наш национальный стандарт ГОСТ Р ИСО/МЭК 154082002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» в качестве полноценного аналога международному стандарту ISO/IEC 1540899 и, соответственно, разработанные на его основе системы и средства защиты информации.
В России этого пока не наблюдается, так почему за рубежом должно быть иначе? И разве это единственный сертификат для средств ЗИ, который требуется за рубежом? Ведь не только отечественные регулирующие органы проводят в этой области протекционистскую политику, но и государственные структуры многих зарубежных стран. И, наконец, много ли у нас в стране продуктов в области ИБ, исключая антивирусы и криптографию, которые являются достаточно конкурентоспособными?
Поэтому, учитывая то количество зарубежных систем, средств и решений в области информационной безопасности, которые уже представлены на российском рынке, принятие ИСО/МЭК 154082002 пока облегчает доступ, скорее, зарубежных продуктов в Россию, чем продуктов отечественных компаний на рынки зарубежных стран.
CNews.ru: Известно, что корпоративный сектор страдает дефицитом документов государственного уровня, регламентирующих деятельность компаний в сфере защиты информации. Не ведет ли это к тому, что компании пренебрегают основами информационной безопасности? Считаете ли вы, что регламентирующих государственных документов должно быть больше?
Андрей Калашников: Я бы не стал говорить о дефиците документов. Скорее, нет четкого, обоснованного и, самое главное, единого плана подготовки руководящих документов государственного уровня в области защиты информации. Так же, как нет и отвечающего за выполнение этого плана единого государственного органа.
Вместе с тем, наблюдается явное отсутствие координации и согласованности между рядом законодательных и нормативных актов, которое допускает разное толкование основополагающих положений по защите информации. Так, например, до сих пор нет четких однозначных определений таких понятий, как «обеспечение информационной безопасности», «защита информации», «шифрование», «кодирование» и целого ряда других.
Связано это с объективными, а зачастую и с субъективными факторами, когда различные ведомства издают нормативные акты или лоббируют принятие законов, не согласованных с уже действующими документами.
Конечно, отсутствие в настоящее время и затягивание принятия ряда ключевых законодательных актов, в частности, законов «О коммерческой тайне», «О служебной тайне», «О персональных данных», ставит и производителей средств защиты информации, и потребителей этих средств в достаточно сложное положение. Первые не знают, какие требования должны быть обеспечены в новых разработках средств защиты информации, а вторые соответствуют ли предлагаемые им решения и средства будущим требованиям со стороны государства.
С очень большой задержкой идет реализация основных положений вступившего в силу с 1 июля 2003 г. Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», важнейшего законодательного акта с точки зрения определения порядка создания и эксплуатации средств защиты информации.
До сих пор не разработан ряд крайне необходимых нормативных актов, которые должны быть приняты в соответствии с этим законом, и не реализованы указанные в статье 46 мероприятия
правительства Российской Федерации, а также Национального органа по стандартизации и Федерального органа исполнительной власти по техническому регулированию, роль которых в настоящее время поручено исполнять Федеральной службе по техническому регулированию и метрологии Министерства промышленности и энергетики Российской Федерации.
Гораздо медленнее, чем это вытекает из потребностей практики, решаются вопросы введения международного стандарта ISO 17799 (BS 7799), который уже давно стал в России стандартом de-facto и применяется при проведении аудита информационной безопасности.
Отсутствие жесткого государственного регулирования в области корпоративной информационной безопасности, с одной стороны, хорошо, потому что не ограничивает возможности компаний для самостоятельного развития подходов к информационной безопасности.
С другой стороны, уже сейчас достаточно остро чувствуется нехватка основополагающих документов, подготовленных на высоком профессиональном уровне, регламентирующих не ЧТО должно быть сделано, а КАК это должно быть сделано, и которые позволили бы компании сравнивать свои действия в области информационной безопасности с некими общепринятыми канонами.
CNews.ru: Заинтересовано ли, на ваш взгляд, государство в создании совместно с корпоративным сектором единого и защищенного информационного пространства, и насколько такое пространство необходимо? Пока что дальше констатации проблем и поверхностного обмена мнениями дело не заходило…
Андрей Калашников: Может быть, это и хорошо, что не заходило…Попытки «бороться за чистоту» вместо «уборки улиц» редко приводят к успеху, значительно чаще оканчиваясь разговорами о «важности», «значимости», «необходимости единого подхода», «выработки единых критериев и стандартов»… Последним примером такого рода, к сожалению, является большинство мероприятий ФЦП «Электронная Россия».
Процесс формирования и развития единого информационного пространства в нашей стране является объективной реальностью. Он идет и будет продолжать идти своим естественным чередом, в том числе в области обеспечения информационной безопасности этого пространства. В той связи гораздо более актуальным представляется решение государством и корпоративным сектором конкретных и актуальных на данный момент задач.
Например, для государства такими задачами, по моему мнению, являются завершение реформирования органов, ответственных за регулирование рынка защиты информации, адаптация и внедрение стандарта ISO 15408, реализация закона об электронной цифровой подписи и так далее.
В свою очередь, для корпоративного сектора актуальными представляются задачи дальнейшего развития некоммерческих организаций, ориентированных на развитие и консолидацию усилий участников рынка, развитие системы обучения и сертификации специалистов (CISSP, CISM, CISA) в области информационной безопасности и ряд других. Всё это должно способствовать эффективному развитию рынка защиты информации.
CNews.ru: Какие PKI-решения наиболее востребованы на российском ИТ-рынке в последнее время? Ограничивается ли все только ЭЦП и созданием VPN, или некоторые компании пошли намного дальше в использовании инфраструктуры открытых ключей?
Андрей Калашников: Сейчас очень модно говорить о PKI. Тем не менее, технология инфраструктуры открытых ключей (PKI) это не средство защиты как таковое и не может напрямую повысить защищенность ИТ-системы. PKI это вспомогательный сервис, который позволяет эффективным образом организовать обмен ключевой информацией.
Реализация этой технологии сложный и дорогостоящий проект, и перед тем, как принимать решение о внедрении PKI, необходимо провести тщательный анализ выгод от её применения. Опыт зарубежных стран в последние несколько лет показывает, что бурного роста в этом секторе рынка не наблюдается. Не возьмусь назвать организации, которые в настоящее время по максимуму используют возможности PKI-технологии.
Если же говорить о перспективах направления PKI, то в ближайшем будущем наибольшим спросом будут пользоваться PKI-решения, способные работать с российскими криптоалгоритмами, а также решения по криптографической защите документов на магнитных носителях длительного хранения информации, в первую очередь, электронных архивов. Это направление постепенно выходит на уровень приоритетных в вопросах защиты информации.
CNews.ru: Распространение емких и компактных носителей информации приводит к тому, что многие компании разрабатывают «с нуля» или совершенствуют внутренние политики безопасности. Какие, на ваш взгляд, моменты следует особо учитывать при построении эффективной политики безопасности на современном предприятии? Назовите наиболее значимые проекты, выполненные вашей компанией по разработке политик безопасности.
Андрей Калашников: Разработка или совершенствование политики безопасности организации является достаточно сложной и многогранной задачей, решать которую должны специалисты, имеющие соответствующие теоретическую подготовку и большой практический опыт.
Эту работу можно выполнить либо силами самой заинтересованной организации, либо привлекая специалистов из фирм, являющихся так называемыми «интеграторами в области защиты информации», либо, и это, по-моему, наиболее рациональный путь, привлекая силы крупных системных интеграторов и решая вопросы информационной безопасности в комплексе с анализом существующих бизнес-процессов и развитием информационных систем.
Эффективная политика безопасности предприятия должна решать две основные задачи: первая это разграничение зон ответственности и обязанностей между всеми участниками процесса обеспечения информационной безопасности (например, ИТ-подразделения, служба информационной безопасности, служба охраны, HR-подразделение), и вторая это определение единого перечня требований и стандартов по информационной безопасности, обязательного для исполнения в рамках всего предприятия.
В качестве первого шага построения политики безопасности рекомендуется проведение информационного обследования и аудита информационной безопасности организации (а не только информационной системы), в основе которого лежит анализ рисков. Анализ рисков заключается в количественной и качественной оценке тех угроз информационным процессам, которые представляют опасность для основного бизнеса организации, подчеркиваю, именно для бизнеса, а не для информационной системы.
Что касается опыта компании IBS, то за последний год мы выполнили несколько крупных проектов в банковской и нефтегазовой отрасли, в которых в качестве одной из составляющих предусматривалась разработка соответствующей политики информационной безопасности.
CNews.ru: Начало текущего года ознаменовалось гигантским потоком вирусов и других виртуальных угроз, циркулировавших в интернете. Как эти события отразились на спросе на решения в сфере защиты информации со стороны корпоративных и государственных заказчиков в России?
Андрей Калашников: Полагаю, что, как и все подобные «виртуальные» угрозы, немного этот спрос увеличили. Однако насколько подобные угрозы затрагивают реальный бизнес реальных компаний? К сожалению, очень часто можно наблюдать, как на различных конференциях и семинарах выступающие начинают свой доклад с цифр статистики. Красивые графики демонстрируют угрожающий рост компьютерных преступлений, однако эффекта в аудитории это не вызывает.
В нашей стране, «пока гром не грянет», деньги на информационную безопасность обычно выделяют по остаточному признаку. Только убедившись в том, насколько бизнес компании уязвим и зависим от работоспособности и безопасности информационной системы, руководство начинает осознавать возможный масштаб бедствия.
Такому осознанию очень помогают конкретные примеры, описывающие инциденты в организациях с аналогичной сферой деятельности. При этом необходимо помнить, что вирусные атаки, о которых так широко и много публикуется в СМИ, занимают в ряду наиболее опасных угроз далеко не самое первое место. Основной источник опасности собственные сотрудники, так называемые «авторизованные пользователи», на долю которых приходится свыше 70% компьютерных нарушений.
CNews.ru: На какие решения в сфере защиты информации существует больший спрос со стороны государственных учреждений и на какие со стороны корпоративного сектора? Чем объясняется выбор именно этих решений?
Андрей Калашников: Да, безусловно, спрос на решения в сфере защиты информации со стороны государственных учреждений и корпоративного сектора имеет определенные различия. Но эти различия, скорее, лежат не в принципиально разных подходах, а в иной плоскости рассмотрения вопросов информационной безопасности.
Сейчас общепринятым считается подход к информационной безопасности как к обеспечению конфиденциальности, целостности и доступности данных. Можно уделять всем этим компонентам равное внимание, а можно делать акцент на каком-то одном. Когда мы говорим о защите государственной тайны, то автоматически попадаем в зону действия закона о государственной тайне, и все силы сосредотачиваем на сохранении конфиденциальности информации, а вопросам доступности, например, не уделяем такого пристального внимания.
И, наоборот, компания, которая по роду своей деятельности предоставляет информацию широкому кругу пользователей, заинтересована, прежде всего, в том, чтобы эта информация была доступна 24 часа в сутки и 7 дней в неделю, а заботы о конфиденциальности информации для нее не являются приоритетными. Компании, бизнес которых существенным образом зависит от электронных транзакций, интернет-магазины, информационно-маркетинговые центры основной упор могут сделать на обеспечении доступности информации, а банки, операторы мобильной связи на ее целостности.
Словом, разность подходов к информационной безопасности зависит от бизнес-приоритетов компаний и организаций.
Кроме того, разность подходов объясняется еще и различиями в нормативной базе. Если есть рычаг, заставляющий компанию действовать определенным образом, она вынуждена ему подчиняться. Для государственных органов нормативных документов в области защиты информации написано очень много; они достаточно жестко регламентируют вопросы, связанные с информационной безопасностью.
В корпоративном секторе ситуация несколько иная: нормативных документов государственного уровня сравнительно мало. В законе «Об информации, информатизации и защите информации» записано, что в отношении конфиденциальной информации, не составляющей государственную тайну, режим защиты информации устанавливается собственником информационных ресурсов или уполномоченным лицом. В этом плане каждый сам себе закон.
Именно таким образом и формируется определенная отраслевая специфика. Например, для организаций финансово-кредитной сферы актуальны решения, связанные с шифрованием и электронной цифровой подписью. Для операторов телекоммуникационных услуг интересны решения по защите от атак на отказ в обслуживании.
Если говорить о государственных и коммерческих учреждениях и предприятиях, то существует ограничение, обязывающее государственные организации использовать только сертифицированные средства защиты. В первую очередь, это касается криптографии.
Ну а говорить о том, что министерства и ведомства больше интересуются межсетевыми экранами, а коммерческие структуры антивирусами, наверное, будет не совсем правильным.
CNews.ru: Какая доля в интеграторском бизнесе вашей компании приходится на решения в сфере защиты информации? В какую сторону изменилась эта доля за последний год и почему?
Андрей Калашников: О каких либо конкретных процентах говорить сложно, потому что, в нашем понимании, системный интегратор сегодня должен, прежде всего, строить безопасные системы, а не предлагать системы безопасности. Именно поэтому все без исключения проекты нашей компании обязательно проходят экспертизу в части информационной безопасности.
Информационная безопасность закладывается при проектировании любой информационной системы будь то портал, телекоммуникационная или ERP-система. Наличие высококвалифицированных специалистов, имеющих, в том числе, сертификаты CISSP, CISM/CISA и богатый практический опыт участия в реализации различных, в том числе, уникальных по сложности проектов, делает выполнение этих задач вполне реальным.
Воспользоваться заложенным механизмом или создать что-то альтернативное право заказчика, но механизм обеспечения информационной безопасности изначально должен быть заложен в самом ИТ-решении.
Что же касается «чистых» проектов по информационной безопасности (к ним, в основном, относятся работы по аудиту, консалтингу, анализу и оценке рисков, подготовке концепций и политик информационной безопасности и т.д.), то в течение последних 23 лет объем реализации здесь практически ежегодно удваивается.
CNews.ru: Какие, на ваш взгляд, тенденции будут преобладать на рынке защиты информации в России в ближайшие год-два?
Андрей Калашников: Говорят, что давать прогнозы дело неблагодарное, тем не менее, можно попытаться выделить несколько тенденций, которые выявились за последние год-два и, возможно, действительно станут преобладающими.
В ближайшие год-два развитие рынка защиты информации может пойти одновременно по двум направлениям. Первое это существенное увеличение закупок сертифицированных программно-технических средств защиты государственными организациями и предприятиями, второе увеличение доли услуг в проектах по информационной безопасности, выполняемых для крупных и средних коммерческих структур.
Первая тенденция связана с увеличением финансирования со стороны государства проектов по созданию и модернизации информационно-телекоммуникационных комплексов. Зачастую, такие проекты в качестве неотъемлемой части включают создание или развитие комплексной системы информационной безопасности или одной из её составляющих. Как правило, уровень оснащенности средствами защиты на государственных предприятиях недостаточно высок, и такие проекты в части защиты информации направлены, в первую очередь, на закупку необходимых программно-технических средств.
С другой стороны, в коммерческих структурах ситуация с наличием средств защиты более благоприятная. Большинство компаний сейчас имеют «джентльменский набор» из антивирусного программного обеспечения, межсетевого экрана и средств резервного копирования. Наличие большого количества разнообразных средств защиты не всегда говорит об их эффективном использовании.
В настоящее время большинство ИТ-руководителей понимает, что комплексная система обеспечения информационной безопасности подразумевает наличие концепции и политики информационной безопасности, качественной проектной и рабочей документации, эффективно работающего комплекта организационно-распорядительных документов. С этой точки зрения увеличивается востребованность таких услуг, как аудит и анализ рисков, разработка нормативных документов.
Еще одной тенденцией на российском рынке информационной безопасности может стать резкий рост числа зарубежных компаний и производимых ими продуктов. Это связано с некоторым ослаблением протекционистской политики российских регулирующих органов в связи с принятием ГОСТ ИСО/МЭК 154082002, а также с постепенным изменением подходов к обеспечению информационной безопасности.
CNews.ru: Спасибо.
|