версия для печати
Константин Соколов
«АМТ-Груп»

Константин Соколов:

К проработке документов 152 ФЗ в недостаточной мере привлекалось экспертное сообщество

На вопросы CNews ответили Константин Соколов, директор департамента информационной безопасности компании «АМТ-Груп», и Владимир Измайлов, начальник отдела сертификационного производства и аттестования «АМТ-Груп».

CNews: Какие изменения, произошедшие на рынке ИБ в 2009 году, показались вам наиболее значимыми? Как повлияло на отрасль изменение глобальной экономической ситуации?

Константин Соколов: Экономический кризис, безусловно, повлиял на ИТ-отрасль, но на направление информационной безопасности (по крайней мере, в России) он, по нашим наблюдениям, пока влияет в меньшей мере. Это обусловлено тем, что актуальность решений по ИБ в условиях экономического кризиса только повышается. Например, снижение лояльности персонала предприятий в связи с сокращениями или урезаниями зарплат заставляет уделять больше внимания сохранности корпоративных данных, а слияния и поглощения требуют создания унифицированных механизмов защиты для давно существующих и новых активов.

Что касается общемировых тенденций - можно отметить рост активности западных производителей ИБ-решений на российском рынке. Однако сильного изменения рыночных долей глобальных поставщиков не произошло.

Роль локальных производителей при этом осталась прежней: они остаются узкоспециализированными компаниями и занимаются в основном выпуском оборудования, сертифицированного в соответствии с требованиями российского законодательства.

CNews: Как изменились за последний год приоритеты бизнеса и госсектора в вопросах ИБ, на ваш взгляд?

Константин Соколов: В госсекторе приоритеты не изменилась, равно как и в банковской сфере. Но во многих отраслях бизнеса (например, в телекоме) произошло сокращение затрат на ИБ. Впрочем, некоторые компании сократили затраты «на всякий случай», а к концу года вновь расширили бюджеты.

CNews: Насколько определяющим для развития рынка ИБ в России в 2009 г., по вашему мнению, оказался ФЗ 152 о персональных данных?

Владимир Измайлов

Владимир Измайлов: Закон был принят в 2006 году, но только в 2007-2008 гг. начали появляться подзаконные акты и определились основные государственные исполнительные органы (ФСБ, ФСТЭК, Мининформсвязи) и надзорные органы (контроль за соблюдением законодательства о персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)), а также конкретные нормативные документы.

Константин Соколов: Кредитные организации ждут от рынка прецедента с точки зрения влияния на основной бизнес рисков несоблюдения этих требований. После того как прецеденты появятся, станет понятно, что выгоднее: вкладываться в проекты по приведению своих бизнес-процессов в соответствие с требованиями нового закона или платить штрафы.

При этом, полагаю, в группе риска находятся, в первую очередь, операторы связи и страховые компании – у них огромная абонентская база, масса персональных данных. Именно в силу того, что эти субъекты рынка находятся « на виду», у активной части населения всегда возникали претензии к ним.

CNews: В чем вы видите специфику и основные сложности проектов по защите персональных данных?

Владимир Измайлов: На мой взгляд, не все возможные аспекты были учтены при подготовке закона. Например, поликлиники и больницы, ведущие компьютерный учет и имеющие локальные сети, попали под первый класс защиты: их персональные данные требуется защищать при помощи криптографии, а это достаточно серьезные вложения. Уверен, что  1 января 2010 года застанет медучреждения врасплох. Скорее всего, поликлиники решат вести учет как раньше - по бумажным картам, ведь  в этом случае они уже сейчас соответствуют требованиям закона: закрытое помещение, решетки на окнах, отдельный вход и т. д. Соответственно, информатизация медицины без соответствующих поправок в закон будет идти гораздо медленнее.

Константин Соколов: За основу была взята очень правильная идея, но, судя по всему, к проработке документов в недостаточной мере привлекалось экспертное сообщество. Есть, например, такая проблема, как расхождение отраслевых требований и требований регулятора. Например, Банк  России требует от кредитных учреждений при закрытии счета порядка пяти лет хранить данные о клиенте, включая его ПДн., а 152 ФЗ говорит о том, что клиент имеет право требовать от банка удаления своих данных из всех систем. Это только одно из серьезных противоречий.

Владимир Измайлов: Есть также множество технологических проблем, например, несоответствие зарубежных ИБ-решений требованиям данного закона. При этом дочерние структуры зарубежных компаний должны соответствовать как российским, так и зарубежным стандартам. Можно собрать для заказчиков любую систему безопасности, отвечающую и западным, и отечественным требованиям. Но компаниям придется заплатить за свое соответствие стандартам дважды.

CNews: На каких сегментах российского рынка ИБ вы фокусируетесь в наибольшей степени в настоящий момент?

Константин Соколов: Мы стремимся сегментировать рынок ИБ не столько с точки зрения технологий, сколько с точки зрения потребностей вертикальных рынков. Наиболее актуальные для нас вертикали в 2010 г. – телеком-операторы, госучреждения и банковский сектор. Но это не означает, что мы не будем работать с другими отраслями. Мы считаем, что в следующем годы в промышленности будет активно развиваться направление защиты АСУТП, намерены активно работать в этой нише.

CNews: Какие наиболее значимые проекты ИБ были реализованы вами за последний год?

Константин Соколов: Наша компания давно и успешно работает с энергогенерирующими компаниями. Для одной из них мы выполняем крупный долговременный проект, включающий также защиту персональных данных. Мы делаем связку между управлением ИТ и управлением безопасностью. Это долговременный проект, в финале которого планируется внедрение системы менеджмента информационной безопасности.

Еще один значимый проект реализован в одном из крупнейших банков. Мы строим систему защиты филиальной сети, обеспечиваем подключение к интернету.

Поскольку банк – это совместное предприятие, мы в полной мере учитываем требования зарубежных акционеров, наряду с российскими реалиями и требованиями регуляторов. Мы строим производительную и высокоуровневую систему – защиту ЦОДов, а также систем, обеспечивающих безопасный доступ в интернет. Для соблюдения высоких стандартов защищенности в наших проектах используется однотипное оборудование как минимум двух производителей.

CNews: Каковы цели появления в компании непрофильного для интегратора направления серийного производства сертифицированных программно-технических средств защиты информации? Как вы оцениваете уровень спроса заказчиков на данные решения?

Владимир Измайлов: В сфере информационной безопасности краеугольным камнем всегда было использование сертифицированных средств. В 1995 году Постановлением Правительства РФ № 608 утверждено «Положение о сертификации средств защиты информации (СЗИ)» определены основные участники системы сертификации. Федеральным органом системы сертификации является ФСТЭК. Существуют нормативные документы, где выделены типы СЗИ, определены классы по защите и требования к СЗИ по каждому из классов. Но помимо регламентирующих органов, необходимы и рабочие органы, которые занимаются непосредственно сертификацией и тестированием – это органы по сертификации и испытательные лаборатории. Кроме этого, есть производители сертифицированных СЗИ и заявители на сертификацию.

Наша компания заявила типы оборудования, которые готова предлагать на рынке в качестве серийного производителя сертифицированных СЗИ. Средство защиты информации, пройдя путь от заявки к тестированию в испытательной лаборатории и получив после этого положительное заключение во ФСТЭК, становится обладательницей соответствующего сертификата. Для серийного выпуска сертифицированных СЗИ наша компания имеет все необходимые лицензиями. Создан отдел сертификационного производства и аттестования.

Помимо организационной структуры, у нас существует технологическая база – выделенное помещение, в котором имеется испытательный стенд с соответствующим оборудованием. Помещение соответствует всем требованиям с точки зрения защищенности, равно как и размещенные там средства, позволяющие обрабатывать конфиденциальную информацию. В результате серийного производства конечный потребитель сертифицированного СЗИ получает комплект эксплуатационной документации в соответствии с национальным законодательством, а также  нанесенный на оборудование специальный защитный знак соответствия сертификату – голографическую наклейку, которую невозможно переставить на другое устройство (она сделана из специального полимерного материала, который при попытке удаления разрушается). На сегодняшний день выданы сертификаты на серийное производство 32 типов оборудования. В соответствии с нормативными документами, при проведении работ по сертификации СЗИ, «АМТ-Груп» проходила проверки по двум параметрам – наличие организационно-технических условий для серийного производства и соответствие заявленных параметров СЗИ соответствующему классу. За прошедшие годы нами выпущено около 500 единиц сертифицированных СЗИ. В основном, это межсетевые экраны и маршрутизаторы. Процесс производства стабилен, налажен, открыт для контролирующих органов.

Константин Соколов: В принципе, система сертификации ФСТЭК позволяет сертифицировать отдельные экземпляры, партию и серийное производство оборудования. При этом цикл сертификации по времени сопоставим – и для сертификации партии устройств, и для сертификации серийного производства. Если заказчик хочет самостоятельно сертифицировать оборудование – он вынужден будет пройти тот же путь к получению соответствующих сертификатов, который мы уже прошли. Купить  сертифицированное оборудование, выпущенное в результате серийного производства сертифицированных СЗИ гораздо проще и быстрее, чем самостоятельно запускать процесс сертификации с нуля. Нашими заказчиками являются как коллеги-интеграторы, использующие СЗИ в своих проектах, так и конечные заказчики, представители различных вертикальных рынков.

CNews: Каковы ваши планы развития ИБ-практики в ближайшее время? Как корректируется ваше предложение под актуальные запросы рынка?

Константин Соколов: Мы стараемся максимально удовлетворить требования наших заказчиков наиболее качественными услугами в области информационной безопасности и интеграции с ИТ. В наших планах – расширение взаимодействия с государственными органами. Мы планируем это направление развивать, активно участвовать в соответствующих тендерах. Для этого наша компания усилила состав команды, занимающейся направлением информационной безопасности. Все новые сотрудники имеют значительный опыт работы с госучреждениями и силовыми структурами.

CNews: Каковы в целом ваши прогнозы развития отечественного рынка ИБ в ближайший год?

Константин Соколов: Мы надеемся, что значительного секвестра расходов в госорганах (которые являются основным потребителем ИБ-решений) не будет. Кроме того, если декларированные государством планы по развитию информатизации страны будут успешно осуществляться, то и рынок информационной безопасности в России будет динамично развиваться в ближайшей перспективе.

CNews: Спасибо.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS