|
|
Обзор подготовлен
CNews: Как вы оцениваете итоги 2008 года на ИБ-рынке России? Какие основные тенденции и произошедшие здесь изменения вы бы выделили особо?
Виктор Сердюк: В 2008 году рынок информационной безопасности продолжил своё уверенное развитие - как с точки зрения роста объёма продаж, так и увеличения количества предлагаемых услуг и решений по защите информации. Это в первую очередь связано с высокой актуальностью проблемы защиты информационных активов компании от возможных атак злоумышленников.
В качестве одной из основных тенденций 2008 года можно отметить усиление роли государства в качестве регулятора в области информационной безопасности. В частности, в 2008 году ФСБ и ФСТЭК разработали пакет документов с требованиями по защите персональных данных, которые направлены на реализацию положений Федерального закона «О персональных данных». Необходимо отметить, что требования данного Федерального закона являются обязательными как для государственных, так и коммерческих компаний.
CNews: С 1-го января 2010 г. окончательно вступает в силу Федеральный закон «О персональных данных». Сможет ли он решить проблему утечки персональной информации, по вашему мнению?
Виктор Сердюк: Безусловно, проблему утечки персональных данных невозможно решить в одно мгновение, для этого нужны годы кропотливой работы. Вместе с тем принятие Федерального закона «О персональных данных» позволило создать правовую основу для защиты персональной информации.
Кроме этого, необходимо отметить, что принятие данного закона позволило привлечь внимание руководства российских компаний к проблеме обеспечения информационной безопасности. Так, если раньше во многих организациях подразделения, отвечающие за защиту информации, финансировались по остаточному принципу, то теперь, благодаря закону они полноценным образом участвуют в процессе планирования затрат на решения по защите информации.
CNews: Какие шаги должны предпринять компании, обрабатывающие персональные данные, для того, чтобы обеспечить соответствие требованиям ФЗ №152?
Виктор Сердюк: В общем случае для того, чтобы привести свои информационные системы в соответствие с требованиями Федерального закона «О персональных данных» необходимо выполнить следующие основные шаги. Во-первых, уведомить Роскомнадзор о том, что компания является оператором персональных данных. Затем провести классификацию своих информационных систем, обрабатывающих персональные данные; разработать модель угроз безопасности; создать модель нарушителя в том случае, если осуществляется передача персональных данных по каналам связи; спроектировать систему защиты персональных данных. Нужно разработать пакет организационно-распорядительных документов по защите персональных данных. Затем внедрить необходимые сертифицированные средства защиты информации; провести аттестацию информационных систем, обрабатывающих персональные данные. Наконец, получить лицензию ФСТЭК на техническую защиту конфиденциальной информации, либо заключить договор аутсорсинга с компанией-лицензиатом.
Необходимо отметить, что конкретный перечень этапов и их содержание должно определяться в процессе реализации проекта. При этом для решения данной задачи рекомендуется привлекать специализированные организации, имеющие лицензии ФСТЭК, а также опыт в области защиты персональных данных.
CNews: Чем защита персональных данных отличается от обеспечения безопасности других видов информации?
Виктор Сердюк:Разумеется, защита персональных данных имеет свою специфику, связанную с соблюдением требований ФСТЭК и ФСБ, предъявляемых к данной категории информации. Так, если для защиты коммерческой тайны компания может самостоятельно определять состав организационных и технических мер, то в случае персональных данных требуется соответствие установленным нормам.
Тем не менее, в рамках проектов по защите персональных данных, которые реализует наша компания, мы не стараемся создать отдельную систему защиты персональных данных, а интегрируем её в существующую инфраструктуру безопасности. Это позволяет сохранить уже сделанные инвестиции и максимально использовать существующие средства защиты, там, где это возможно.
CNews: Из каких элементов состоит система защиты персональных данных?
Виктор Сердюк: Система защиты персональных данных включает в себя следующие основные подсистемы: подсистему антивирусной защиты, предназначенная для выявления и блокирования вредоносного кода; подсистему разграничения доступа, обеспечивающая защиту от несанкционированного доступа к персональным данным. Как правило, данная подсистема также выполняет функции регистрации и учета, а также контроля целостности.
Кроме того, подсистема криптографической защиты, которая предназначена для обеспечения конфиденциальности персональных данных в процессе их передачи по каналам связи. Подсистема межсетевого экранирования устанавливается в точке сопряжения с сетью интернет, либо между информационными системами разных классов. Подсистема предназначена для фильтрации потенциально опасных пакетов данных, проходящих через межсетевой экран.
Подсистема обнаружения вторжений предназначена для выявления и блокирования сетевых атак. Подсистема анализа уязвимостей обеспечиваает обнаружение имеющихся уязвимостей в программном, аппаратном и телекоммуникационном обеспечении.
Помимо этого, при построении системы защиты персональных данных необходимо реализовывать мероприятия в области кадрового и нормативно-методического обеспечения безопасности. Это подразумевает необходимость разработки пакета организационно-распорядительных документов и их доведения до персонала посредством обучения и аттестации.
CNews: Как отразился кризис на востребованности услуг в области ИБ, на ваш взгляд?
Виктор Сердюк: Можно отметить, что в период кризиса спрос на услуги в области информационной безопасности продолжил расти. Это обусловлено несколькими факторами. Во-первых, во время кризиса проблемы ИБ становятся еще более актуальными из-за более активных действий конкурентов, нелояльных уволенных сотрудников и т.д. Всё это создает предпосылки для устойчивого спроса на консалтинговые услуги, которые позволят повысить уровень защищенности предприятия, как от внешних, так и внутренних угроз. К таким услугам относится аудит безопасности, создание нормативных документов, обучение в области ИБ и т.д.
С другой стороны, рост спроса на услуги в области ИБ обусловлен необходимостью приведения своих информационных систем в соответствие с требованиями Федерального закона «О персональных данных», для чего в большинстве случаев привлекаются внешние специализированные организации.
CNews: Как развивалась ваша компания на протяжении прошедшего года? Какие направления бизнеса вашей компании продемонстрировали в 2008 году наибольший рост? На каких продуктах и услугах вы намерены делать акцент в ближайший год?
Виктор Сердюк: Наилучших показателей роста мы достигли в области продажи консалтинговых услуг по защите информации. К таким услугам относится аудит информационной безопасности, разработка нормативных документов, создание систем менеджмента информационной безопасности, проектирование комплексных систем защиты и т.д. В процентном соотношении рост составил более 100% в сравнении с 2007 годом.
CNews: Какие основные проекты удалось реализовать компании «ДиалогНаука» за прошедший год?
Виктор Сердюк: В 2008 году мы реализовали целый ряд масштабных проектов в области информационной безопасности для компаний из разных секторов экономики. В качестве примеров подобных проектов можно привести ввод в эксплуатацию удостоверяющего центра «МобильныеТелеСистемы», разработка политики безопасности для группы компаний «ЮниМилк», проведение аудита информационной безопасности Инвестиционно-финансового дома «КапиталЪ» и др.
CNews: Какие цели ставит перед собой ваша компания в 2009 году?
Виктор Сердюк: Несмотря на финансовый кризис, мы планируем обеспечить значительный рост по финансовым показателям в 2009 году. В первую очередь, рост будет обеспечен за счет увеличения продаж консалтинговых услуг, а также комплексных решений в области информационной безопасности.
В 2009 году мы продолжим выводить на рынок новые решения и продукты. Так, например, в этом году мы заключили партнерское соглашение с компанией ArcSight по продвижению разработок этой компании в области мониторинга событий информационной безопасности. На сегодняшний день мы уже завершили несколько крупных проектов по созданию систем мониторинга и ситуационных центров на базе системы ArcSight ESM.
CNews: Как вы оцениваете перспективы развития российского рынка информационной безопасности в условиях финансового кризиса?
Виктор Сердюк: Безусловно, финансовый кризис, оказал негативное влияние на ИТ-отрасль в целом, и на рынок информационной безопасности, в частности. Тем не менее, с нашей точки зрения, рынок продуктов и услуг по защите информации будет менее подвержен негативному влиянию кризиса, так как проблемы информационной безопасности в данный период станут еще более актуальными.
CNews: Спасибо.