Обзор подготовлен

Андрей Петухов: Продуктовый рынок средств защиты информации ожидает укрупнение производителей

О событиях, повлиявших на развитие российского рынка защиты информации, перспективах его развития, а также типичных ошибках при разработке политик безопасности в интервью CNews.ru рассказал Андрей Петухов, директор Управления систем информационной безопасности компании «АйТи».

CNews.ru: Какие ключевые процессы, на ваш взгляд, происходят в настоящее время на рынке информационной безопасности?

Андрей Петухов: Лейтмотивом структурных изменений рынка является увеличение доли «непродуктовых» консалтинговых услуг по отношению к поставкам и внедрению. По-моему, это вызвано осознанием клиентами того, что настоящая информационная безопасность — дело не совсем простое и совсем не дешевое. И что хорошо бы подумать и обсудить вопрос со специалистами, перед тем, как покупать и устанавливать оборудование. Отсюда потребность в проведении более или менее глубокого предваряющего анализа ситуации, предмета защиты. Кроме того, многие руководители убеждаются в необходимости поддерживать системную согласованность решений, а это требует обязательного проведения кастомизированных работ по проектированию системы информационной безопасности. Такая деятельность тоже становится все более востребованной услугой.

Другая группа важных событий связана с использованием законодательства о техническом регулировании и прямых аналогов международных стандартов в области защиты информации. Жизнь становится понятнее, то, что называют рынком информационной безопасности, приобрело еще один признак рынка — появляются некоторые правила игры.

Очень важный процесс — это проникновение идей информационной безопасности «в массы», в том числе и в руководящие. Начинают адекватно и конкретно осознаваться цели (и количественные тоже), а также необходимость их ресурсного обеспечения, но самое главное — стали пониматься проблемы внедрения и использования продуктов и решений в этой области.

Образуются совершенно новые направления, требующие нетрадиционных подходов. Например, это метризация аспектов защищенности, защита данных в условиях чрезвычайных ситуаций. Есть много других.

CNews.ru: Как, на ваш взгляд, административная реформа отразится на рынке защиты информации России?

Андрей Петухов: Точно так же, как и на других ИТ-рынках. Я не вижу объективных факторов ускорения непосредственно в процессе самой реформы. Позже, возможно, такое ускорение будет, а сейчас вероятнее некоторая пауза. Потому что не затронутыми в результате организационных движений останутся только регламентированные процессы — функционирование и поддержка систем, их эти движения если и коснутся, то существенно позже.

Модернизации сейчас выполняются только в отношении самых критичных факторов и с преимущественным привлечением временных решений, и так будет до тех пор, пока не завершится перетряхивание соответствующих планов и бюджетов. Но самым ощутимым образом реорганизация может отразиться на процессах развития, поскольку они непосредственно сопряжены с формированием целей, а в звеньях реформируемой среды цели либо устанавливаются снаружи, либо, если и возникают внутри, требуют согласования и утверждения. Вот длительность этих процедур и определит размер паузы. Разумеется, все это касается только государственных структур.

CNews.ru: Может ли суматоха, вызванная кадровыми перестановками, задержать реализацию каких-то крупных государственных проектов в сфере защиты информации?

Андрей Петухов: Если что-то подобное произойдет, то, уверен, это будут единичные случаи, свидетельствующие о том, что проект держался на одном-двух руководителях верхнего звена, которые не смогли или не захотели выстроить не зависимую от себя схему реализации проекта. В основном же крупные проекты, пройдя стадию запуска, имеют определенную «инерционность», выраженную в ответственности множества участников, системе их отношений, задействованных ресурсах и многих других аспектах. Остановить такой проект, «выдернув» руководителя (а в большинстве случаев это не руководитель, а некий куратор), нереально.

Скорее, наоборот, новые команды будут стремиться себя контрастно позиционировать, демонстрируя прогрессивность, и ИТ-сфера — отличный плацдарм для этого. Особенно это касается информационной безопасности — сегодня это хит, она у всех на слуху.

CNews.ru: С 1 января 2004 г. в России вступили в силу «общие критерии». Они способствовали открытию двустороннего «коридора», один выход которого ведет российские компании на международный рынок, а другой ведет иностранные компании на российский рынок. Кто, на ваш взгляд, в итоге, получит большую выгоду от вступления в силу «общих критериев» в России: отечественные или иностранные игроки?

Андрей Петухов: Вряд ли установление соответствия отечественного и международного стандартов само по себе кардинально изменит позиции наших производителей за рубежом. На это влияют функциональность продуктов, их надежность, гибкость встраивания, совместимость с различными средами и многое-многое другое. В смысле ориентации на экспорт новая ситуация практически мало что добавила. Я считаю, что основной эффект для наших компаний не столько в том, что критерии общие, сколько в том, что они есть, в первую очередь — внутри страны.

Что касается зарубежных производителей, то, конечно, для них будет комфортнее проводить оценки в сопоставимых категориях, но это только в сегменте средств защиты конфиденциальной информации, в гостайне все по-старому.

CNews.ru: Подтверждает ли ваш опыт тезис о том, что корпоративный сектор тяготеет к зарубежным решениям в сфере защиты информации, в то время как государственный, по понятным причинам, — к отечественным.

Андрей Петухов: Практика показывает, что все заказчики тяготеют к хорошим решениям, независимо от их национального происхождения. Так, например, наши решения вполне конкурентоспособны по целому ряду позиций: криптография, антивирусы, элементы управления доступом, есть неплохие сканеры. Главное преимущество наших зарубежных коллег (наряду с богатой функциональностью и высокой надежностью их продуктов) — в том, что они предлагают системные решения, зачастую снабженные интегрированными средствами управления. Правда, будет несправедливо не обратить внимания на появившиеся в последний год аналогичные предложения от отечественных компаний.

А в отношении госструктур очевидно, что даже в тех случаях, когда российские продукты не являются лидерами в своем классе и если дешевле, то незначительно, устойчивая востребованность этих продуктов поддерживается «понятными причинами».

CNews.ru: Какие, на ваш взгляд, моменты следует особо учитывать при построении эффективной политики безопасности на современном предприятии?

Андрей Петухов: В последнее время вышло немало хороших книг, в которых обсуждается этот вопрос. В дополнение к ним, я еще раз позволю себе напомнить, что особенность информационной безопасности состоит в том, что она как аспект присутствует практически во всех ИТ-решениях и, создавая или внедряя промышленные информационные технологии, обязательно приходится фактически принимать решения и по информационной безопасности. Это, во-первых.

А во-вторых, информационная безопасность — это не только традиционная ИТ-сфера. Это и кадровая политика, и принципы бюджетирования, и корпоративная культура, наконец. Ведь если секретарша, рассказывая о своей подружке из другого подразделения, говорит: «И ты представляешь, она, дрянь эдакая, так и не сказала мне свой пароль», компенсировать этот фактор только информационно-технологическими решениями будет непросто.

Кроме того, если предприятие по-настоящему современное, а политика действительно эффективная, то она обязательно должна быть окрашена экономически. Для этого, по крайней мере, аспекты информационной безопасности должны быть измеримы и соотноситься через какие-то модели с базовыми экономическими категориями, такими, как объем инвестиций, стоимость владения, размеры дохода, ущерба и т.д.

CNews.ru: Какие вертикальные рынки являются для «АйТи» приоритетными в сфере защиты информации?

Андрей Петухов: Прежде всего, это государственные структуры управления и органы власти федерального и регионального уровней. У нас есть обширный положительный опыт и уверенные перспективы в этом секторе. Постоянно наращиваются маркетинговые усилия в отношении отраслеобразующих предприятий топливно-энергетического и сырьевого комплекса, телекоммуникационных компаний.

Это все потребители масштабных комплексных услуг. Не исключаем мы и средние компании, которые переключают свой интерес с преимущественно продуктового рынка на комплексные системные решения, — для них прорабатываются недорогие типовые и быстро реализуемые решения.

Наша развитая региональная сеть представительств обеспечивает нам дополнительную привлекательность для территориально распределенных предприятий, имеющих разбросанные по стране филиалы, отделения.

CNews.ru: Какие преимущества универсального системного интегратора перед специализированными компаниями в сфере защиты информации вы бы выделили?

Андрей Петухов: По-моему, преимущества, как, впрочем, и недостатки, предельно очевидны. Сейчас даже в деревнях строят дом уже с учетом инженерных сетей, а не сверлят для труб дырки в стенах потом «по месту». Системный интегратор имеет возможность бесконфликтно реализовывать решения любого состава и уровня, в том числе и инфраструктурные, включающие компоненты информационной безопасности, уже на этапе замысла. Естественно, за это приходится платить необходимостью работы с большим количеством партнеров и содержать обширный штат специалистов в различных ИТ-областях.

CNews.ru: Назовите наиболее крупные проекты, реализованные вашей компанией в сфере защиты информации в 2003 — начале 2004 гг.

Андрей Петухов: Это удачные реализации решений инфраструктуры открытых ключей для юридически состоятельного и защищенного документооборота подразделений федерального ведомства, включая его многочисленные местные представительства.

Это крупные проекты для особо защищаемых объектов, а также создание антивирусной среды для телекоммуникационных компаний. В составе клиентов по десяти самым крупным проектам госструктур и коммерческих организаций примерно поровну.

CNews.ru: Какие, на ваш взгляд, тенденции будут преобладать на рынке защиты информации в России в ближайшие год-два?

Андрей Петухов: В методической части ощущается тенденция создания и использования измеримых моделей безопасности и перехода от канонической триады критериев «целостность-достоверность-конфиденциальность» к более интегральным критериям типа «непрерывность функционирования», «живучесть», «устойчивость» и т.д.

Растет привлекательность средств защиты данных на прикладном уровне. Такие решения лучше понимаются неспециалистами и проще оцениваются с точки зрения эффективности, что создает предпосылки для развития этого направления.

К сожалению, растущая интенсивность природных и социальных катаклизмов заставляет искать решения информационной безопасности для условий чрезвычайных ситуаций. В последнее время все больше внимания уделяется этим вопросам.

Что касается традиционного продуктового ряда, то из значимых явлений я бы отметил наметившуюся тенденцию укрупнения соответствующих производителей. Видимо, этот процесс будет продолжаться.

CNews.ru: Спасибо.