Владимир Иванов: Абсолютно все ИТ-продукты должны создаваться с учетом требований обеспечения информационной безопасности
На вопросы CNews ответил Владимир Иванов, консультант по технологиям компании EMC.
CNews: Как вы считаете, какие основные драйверы рынка информационной безопасности в мире и России определяют столь впечатляющую динамику его роста?
Владимир Иванов: Бурное развитие рынка ИБ в России с одной стороны отражает мировую тенденцию роста, а с другой, указывает на существующее отставание отечественных организаций в применении практик обеспечения информационной безопасности от мировых стандартов. Так, лишь совсем недавно некоторые компании начали приводить в порядок управление ИБ, ориентируясь, в первую очередь на мировые стандарты, такие, как ISO 27001.
CNews: Стало фактом, что границы рынка ИБ стираются и его решения становятся частью инфраструктурных продуктов. На ваш взгляд, какие из них наиболее в этом нуждаются?
Владимир Иванов: Абсолютно все продукты должны создаваться с учетом требований обеспечения информационной безопасности. Вместе с тем, традиционно, в продуктах инфраструктуры передачи данных (data-in-flight) защите информации уделялось куда больше внимания, чем обеспечению безопасности хранимых данных (data-at-rest). Однако именно в процессе хранения данных создаются основные угрозы конфиденциальности и целостности.
Понимая это, компания EMC говорит о необходимости защиты данных в рамках всего жизненного цикла информации. Парадигма информационно-ориентированной безопасности, предложенная EMC, говорит о необходимости смещения механизмов защиты информации от границы защищенного периметра организации к самим данным. Размытие периметра и необходимость обеспечить мобильность данных и пользователей, работающих с ними, требует обеспечения безопасности информации вне зависимости от её расположения. Именно продукты, обеспечивающие хранение и мобильность данных в первую очередь должны включать в себя механизмы обеспечения консистентной защиты.
CNews: На сколько важна сейчас роль стандартов и международных соглашений в развитии продуктов и систем безопасности? Не приводит ли зарегулированность в этой сфере к излишним проблемам?
Владимир Иванов: Конечно, все хорошо в меру. Слишком много стандартов столь же плохо, как и их отсутствие. Впрочем, «золотой» стандарт (точнее — семейство связанных стандартов) управления информационной безопасностью на текущий момент всего один — серии ISO 27000. Остальные стандарты либо касаются специфических областей (такие, как HIPAA), либо описывают узкие аспекты или являются прикладными стандартами (например, стандарты шифрования данных и электронной подписи).
CNews: Российские компании стремительно растут и обзаводятся сложной территориально — распределенной структурой. Какие средства обеспечения безопасности документооборота, по вашему мнению, сейчас необходимы?
Владимир Иванов: Как правило, системы организации документооборота, такие, как EMC Documentum, уже имеют в своем составе компоненты, отвечающие за аутентификацию и авторизацию пользователей. Таким образом, документы, которые уже находятся в системе документооборота, защищены. Проблемой является обеспечение консистентной защиты документа, когда он извлечен из централизованного хранилища и находится у пользователя. Документ является файлом, и пользователь имеет возможность записать его на внешний носитель и вынести из организации, послать по почте, распечатать и т.д. Необходимо защищать информацию в файле вне зависимости от его местоположения.
Для решения этой задачи применяются комплексы Information Rights Management, такие, как EMC Authentica. Программное обеспечение Authentica позволяет реализовать парадигму информационно-ориентированной безопасности, обеспечивая защиту документов от несанкционированного доступа вне зависимости от того, где эти документы находятся. Автор документа (или система документооборота в соответствии с определенными политиками) назначает уровни доступа различных пользователей к документу: например, документ может быть защищен от изменения, а напечатан он может быть только с водяным знаком и только определенными пользователями, находящимися на своем рабочем месте в офисе.
При экспорте документа из хранилища системы документооборота, необходимые права могут быть назначены автоматически, что обеспечивает консистентность защиты.
Кроме того, для системы документооборота, как и для любого корпоративного приложения, важно обеспечить возможность Single Sign-On, учитывая права уже аутентифицированного пользователя. В крупных, территориально-распределенных организациях управление учетными записями пользователей может стать очень проблематичным, поэтому решения SSO весьма востребованы такими учреждениями и компаниями.
CNews: Для многих вендоров становится привлекательным сегмент малых и средних предприятий. Считаете ли вы актуальным для себя вопрос активизации работы в SMB, и какие продукты ИБ наиболее подходят для этого?
Владимир Иванов: Уже сейчас среди решений RSA (подразделения EMC) есть те, которые успешно применяются в малых и средних компаниях. В самом деле — проблемы строгой аутентификации пользователей, защиты электронной почты столь же актуальны для этих организаций, как и для крупных предприятий. Наши партнеры активно работают с заказчиками разных уровней, и мы намерены и дальше продвигать наши решения во всех сегментах рынка.
CNews: Говоря о крупных компаниях и государственных организациях в России, что вы считаете наибольшим приоритетом для них — построение комплексных систем управления безопасностью или концентрацию на наиболее типичных угрозах?
Владимир Иванов: Важен баланс — компания не может развиваться без существующей стратегии, но нельзя углубляться в прожектерство, оставив в стороне насущные проблемы. Ясно, что в крупных компаниях, служба информационной безопасности, как и служба ИТ, должна быть разделена на два подразделения — занимающихся поддержкой существующих решений и внедрением новых. Это позволит каждому подразделению сконцентрироваться на решении задач, поставленных перед ним, а руководителю службы ИБ — упростит управление ресурсами и планирование развития.
CNews: На сколько совместимы принципы управления жизненным циклом информации и обеспечения ее защиты? Как эти методологии совмещаются в продуктах EMC?
Владимир Иванов: По мнению EMC, обеспечение безопасности информации является неотъемлемой частью управления информацией и должно консистентно применяться на всех этапах её жизненного цикла.
В EMC была разработана стратегия интеграции подсистем обеспечения защиты информации во все аппаратные и программные продукты компании. Так, некоторые решения уже сейчас используют единую инфраструктуру аутентификации и управления ключевой информацией. В будущем все продукты EMC будут использовать общую инфраструктуру защиты, упрощая поддержку и обеспечивая совместимость решений.
CNews: Ощущается ли российская специфика в сегментах рынка, на которых работает ваша компания?
Владимир Иванов: Безусловно. Ряд продуктов EMC и RSA содержат реализации алгоритмов криптографической защиты, а эта область регулируется государством. Мы работаем с органами сертификации и выполняем требования к сертификации продуктов.
CNews: Ряд новых продуктов ЕМС так или иначе решает проблему борьбы с инсайдерами? На сколько опасной видится вам эта угроза и насколько интересен для вас этот сегмент рынка?
Владимир Иванов: Согласно результатам опроса CIO и CISO ряда компаний, проводимого по заказу EMC, угрозы со стороны инсайдеров являются проблемой номер один в современной организации.
Защита от инсайдеров, в первую очередь — это повсеместная и непротиворечивая авторизация пользователей. Многие существующие продукты, например Authentica IRM и Database Security Manager, направлены на решение этой проблемы. Я уверен, это направление будет активно развиваться и в дальнейшем.
CNews: Каковы направления развития рынка ИБ в России вы могли бы назвать? Каким он вам видится через несколько лет?
Владимир Иванов: Я думаю, Россия будут продолжать следовать тенденциям мирового рынка. Сейчас видно, что проблемы некачественного кода и взломов извне постепенно сходят на нет — как за счет роста понимания их причин, так и за счет технологических нововведений. Например, на хакерской конференции Defcon в 2007 году, доля докладов, посвященных этой тематике, значительно уменьшилась. Вместе с тем, растет озабоченность проблемами, связанным с увеличением гибкости бизнеса, повышением мобильности сотрудников и данных, снижением контроля за ними — внутренними угрозами, защитой мобильных устройств, аутентификацией мобильных пользователей.
Полагаю, что ближайшие год-два специалисты в области ИБ будут озабочены решением этих проблем — и, конечно, успешно их решат. Ну а к этому времени мы узнаем о новых рисках и новых угрозах. Какими они будут — покажет будущее.
CNews: Спасибо.
|