|
|
Обзор подготовлен
На вопросы CNews отвечают Игорь Калганов, заместитель директора департамента информационной безопасности финансовой корпорации "Открытие", и Олег Слепов, руководитель направления защиты персональных данных компании «Инфосистемы Джет».
CNews: Как сказалось, по вашим наблюдениям, изменение экономической ситуации в мире на развитии рынка ИБ?
Олег Слепов: На мой взгляд, влияние экономических факторов неоднозначно – что-то усложнило работу на этом рынке, что-то, наоборот, сделало определенный круг задач по ИБ более актуальным. Экономический кризис влечет за собой обострение многих негативных явлений, таких как: безработица, банкротство компаний, увольнение сотрудников, а, значит, необходимость в защите информации в эти периоды значительно возрастает. Поэтому спрос на информационную безопасность если не увеличивается, то, по крайней мере, не снижается. Но процедура выделения средств на реализацию новых проектов, в том числе по информационной безопасности, конечно, стала более сложной.
Сочетание всех этих факторов привело к тому, что рынок освобождается от всего наносного и ненужного и оставляет только то, что можно отнести к понятию Real Security - то, что действительно приносит пользу с точки зрения защиты бизнеса и информации.
Мы в своей деятельности по защите информации придерживаемся именно такого подхода. И судя по тому, как Центр информационной безопасности компании «Инфосистемы Джет» загружен работой, могу с уверенностью сказать, что мы на правильном пути.
CNews: Какие изменения были внесены в ИТ-стратегии финансовых компаний в 2009 г. в свете 152-ФЗ?
Игорь Калганов: Само понятие «стратегия» - суть формулирование основных долгосрочных целей и задач, согласование последовательности действий, а также распределение ресурсов, необходимых для достижения этих целей. Иными словами, это руководство к действию, оформленное в виде генеральной программы с четко сформулированными целями и основными путями их достижения, обеспеченное необходимыми ресурсами.
Значимость самого 152-ФЗ 2006 г. состоит в том, что если ранее защита конфиденциальной информации была рекомендована, то после вступления в силу данного закона она стала обязательной. И, конечно, 152-ФЗ в ретроспективном анализе развития ИБ- и ИТ-стратегий компаний можно назвать терминатором.
Председатель Совета директоров финансовой корпорации «Открытие», Б.И. Минц, при определении основных целей деятельности по информационной безопасности и ИТ потребовал обеспечить неукоснительное выполнение федерального законодательства. Исходя из этого, в рамках выполнения поставленных задач в группе компаний «Открытие» был начат проект по приведению ИСПДН в соответствие с требованиями закона: мобилизованы силы и ресурсы. Наиболее существенным при реализации проекта, считаю, именно понимание значимости и всестороннюю поддержку со стороны руководства. Это и есть более чем наглядный пример изменений (уточнений) ИБ и ИТ-стратегий компаний.
CNews: Как изменились за последний год приоритеты бизнеса и госсектора в вопросах ИБ, на ваш взгляд?
Олег Слепов: По моему мнению, значительных изменений приоритетов не произошло. Понимание того, что обходить стороной эти вопросы нельзя, уже закрепилось и не является чем-то необычным. И бизнес, и госсектор, не скажу, чтобы охотно, но все-таки вкладывают достаточные средства в защиту одного из своих основных ресурсов – информации.
Единственное изменение в этой сфере, которое я бы отметил, – это сокращение в конце 2008 - начале 2009 года бюджетов на ИТ, а как следствие и на ИБ, что заставило компании еще более вдумчиво тратить деньги на безопасность.
Однако я рассматриваю данный аспект скорее как положительный, поскольку такое развитие ситуации способствует оптимизации расходования ресурсов на обеспечение ИБ, что на руку не только компаниям-заказчикам, но и игрокам рынка ИБ, которые заботятся о бизнес-эффекте своих решений.
CNews: Насколько активно рынок реализовывал проекты по приведению систем персональных данных в соответствие с требованиями законодательства?
Игорь Калганов: Рынок весьма активно отнёсся к реализации этих проектов. Конечно, если говорить о бюджетных организациях РФ, то о какой-либо активности не может быть и речи в силу как объективных, так и субъективных причин.
CNews: В чем вы видите основные сложности подобных инициатив? С какими из них пришлось столкнуться вам в своей практике?
Игорь Калганов: Существенная сложность – это отдельные нечёткие, двусмысленные формулировки в документах, изданных в развитие 152-ФЗ; весьма слабая взаимосвязь названных документов с организацией работ, введённой в практику задолго до вступления в силу закона «О персональных данных». Я имею в виду систему аттестации автоматизированных систем, РД ФСТЭК при Президенте РФ и проч.
В качестве ещё одного негативного фактора, влияющего на реализацию проектов, я хочу отметить недостаточную информированность участников рынка. Это связано с тем, что ряд нормативно-методических документов имеет ограничительные грифы.
Но основная сложность заключается в недопустимо малом количестве квалифицированного персонала, способного понять и реализовать требования регуляторов. Причём стоит отметить, что далеко не все организации, оказывающие возмездные услуги в рамках реализации проектов по приведению ИСПДН в соответствие с законом, имеют в своём составе необходимое количество специалистов с соответствующей квалификацией.
Без лишней скромности замечу, что благодаря высококвалифицированной команде, сформированной в Финансовой корпорации «Открытие», а так же благодаря тому, что к работам привлечена одна из наиболее компетентных и опытных компаний - «Инфосистемы Джет», проект идёт без каких-либо ощутимых проблем.
Олег Слепов: Сегодня многие сертифицированные средства защиты информации (особенно для высоких классов ИСПДн) не способны обеспечить производительность и корректность функционирования современных информационных систем, они также затрудняют работу отдельных сервисов. Поэтому самая трудная задача, которую нам постоянно приходится решать, состоит в том, как встроить систему защиты персональных данных в уже существующую инфраструктуру и при этом не ограничить работоспособность информационной системы. К примеру, чтобы решить эту задачу специалисты компании «Инфосистемы Джет» стараются применять встроенные механизмы защиты СУБД, операционных и прикладных систем. Такой подход позволяет сохранить производительность системы на прежнем уровне, поскольку минимизирует изменения в структуре ИСПДн.
Еще одной трудной задачей я считаю построение системы защиты в условиях постоянной модернизации информационных систем. В данном случае уже на этапе проектирования мы должны заложить возможность масштабирования применяемых решений по защите ПДн, чтобы в дальнейшем заказчик не переделывал систему в процессе модернизации и развития.
CNews: Насколько определяющим для развития рынка ИБ в России в 2009 г. оказался
ФЗ 152 – о персональных данных?
Олег Слепов: Я бы назвал его появление очередным этапом эволюции ИБ в России. В буквальном смысле идет «притирание» государственного и коммерческого подходов к ИБ. Еще два года назад многие компании вообще не имели представления, что существует какой-то «государственный подход». Сегодня мы видим попытку скорректировать свое представление о методах и способах защиты информации как с одной, так и с другой стороны. Именно ФЗ 152 послужил тому толчком.
CNews: В чем вы видите специфику проектов по ЗПД?
Олег Слепов: Специфика заключается в том, что коммерческие организации в своей инфраструктуре уже имеют системы защиты, которые создавались, в первую очередь, для решения бизнес-задач, при этом крайне редко внимание уделялось нормативным документам, разрабатываемым нашими регуляторами в области ИБ (ФСТЭК и ФСБ). Возможно, если бы государство раньше начало регулирование этих областей, притирка, о которой я говорил раньше, прошла намного мягче, чем сегодня. Но этого не случилось, поэтому в данный момент приходится «резать по живому», адаптируя уже созданную систему защиты информации под требования государства. А это трудно реализуемая задача. Вот поэтому мы и видим «ужас» на лице наших коллег, когда они пытаются соединить воедино трудно соединимые части.
Этим, на мой взгляд, сегодня и определяется специфическое развитие ситуации на рынке защиты персональных данных. Исходя из сложившихся условий в проектах по ЗПД мы пытаемся совместить выполнение законодательных требований, с одной стороны, и бизнес-задач, с другой. А главное – по возможности сделать это безболезненным для наших заказчиков.
CNews: Какова в среднем длительность такого проекта?
Игорь Калганов: В группе компаний «Открытие» подготовка к проекту началась в ноябре 2008 года со сбора и анализа исходных данных, определения объёмов, этапов и последовательности работ.
Сам проект, включая конкурс по выбору подрядчика и сами работы, был начат в июне текущего года и рассчитан на семь месяцев. Завершение работ запланировано на декабрь текущего года.
CNews: Насколько подобные активности затратны для операторов данных в ситуации экономического спада?
Игорь Калганов: Мне сложно оценивать уровень затрат, так как я не являюсь распорядителем бюджетов операторов. Но могу процитировать заместителя генерального директора ФК «Открытие» А.Предтеченского: «Расходы по проекту весьма существенны, но не критичны. Для группы «Открытие» реализация данного проекта есть часть долгосрочной стратегии по созданию системы управления операционными рисками и построению системы комплаенса в соответствии с международными стандартами. Вступление в действие закона 152-ФЗ для нас стало поводом расставить приоритеты среди нескольких проектов в этой области. Возможные изменения в Законе, обсуждающиеся в настоящее время в Государственной Думе в части сроков реализации отдельных положений Закона не повлияют на судьбу реализуемого проекта. Вместе с тем, отсрочка внедрения ряда требований позволит провести эту работу более качественно». Это была оценка затрат и значимости проекта всех операторов, входящих в группу компаний «Открытие».
CNews: Как можно оценить результат такого проекта? Какова оценка соответствия систем требованиям безопасности персональных данных?
Игорь Калганов: Говоря о результатах проекта, прежде всего, следует отметить главный – построение системы работы всех подразделений, прямо или косвенно принимающих участие в реализации требований закона и регуляторов; построение чёткой системы взаимодействия между подразделениями и отдельными специалистами, должностными лицами и, конечно, приобретение опыта.
Что касается самого проекта и оценки соответствия ИСПДН требованиям законодательства, то, основываясь на уже имеющихся результатах, уверен, что работы будут завершены в утверждённые сроки с соответствующим качеством.
CNews: На каких сегментах российского рынка ИБ компания «Инфосистемы Джет» фокусируется в наибольшей степени в настоящий момент?
Олег Слепов: Конечно, на тех, которые сегодня наиболее востребованы, дают быструю отдачу – это Fraud Management&Revenue Assurance и DLP, а также обеспечение соответствию нормативным требованиям – ЗПД, PCI DSS. При этом главная наша задача – не просто «выдать» аттестат соответствия на информационную систему или сертификат на систему защиты, а сделать так, чтобы защита информации была действительно эффективной.
Сфокусировавшись на этих направлениях, тем не менее, мы активно развивали и другие. Уже в конце этого года стали востребованы решения по централизованному управлению правами доступа пользователей (IDM), центры оперативного управления ИБ (SOC). Таким образом, не только сохранив, но и развив компетенции по этим направлениям, мы подошли к выполнению подобных проектов «во всеоружии».
CNews: Какие наиболее значимые проекты ИБ были реализованы компанией «Инфосистемы Джет» за последний год?
Олег Слепов: Этот год характерен тем, что проекты по ИБ проходили «жесткий отбор» внутри компаний на уровне бизнес-руководства, в результате чего запускались проекты с наиболее очевидным business value. С одной стороны, компания «Инфосистемы Джет» традиционно работает в проектах, начиная с самых ранних этапов их формирования, с уровня, когда есть только идея. поэтому очень часто наши специалисты участвуют в оценке бизнес-эффекта планируемых проектов. С другой стороны, мы целенаправленно развивали компетенции и направления ИБ, приносящие ощутимые выгоды нашим заказчикам. Благодаря этому мы реализовали ряд интересных и в чем-то инновационных проектов.
Прежде всего, хотелось бы отметить завершение двух самых крупных и сложных в РФ (по оценкам вендора – Sun Microsystems) внедрений IdM-решений: в нефтегазовой отрасли (40 000 управляемых пользователей) и в финансовой компании (10 000 управляемых пользователей). Особенно приятно, что польза от систем настолько ощутима, что, несмотря на сложную мировую экономическую ситуацию, в обоих случаях продолжается развитие систем.
В ряде компаний группы «Связьинвест» нашими специалистами проведены проекты по обнаружению нелегальной терминации международного/междугороднего трафика, что только по самым скромным оценкам позволит сэкономить сотни миллионов рублей в год.
Конечно, мощным драйвером проектов этого года были нормативные требования регуляторов, как российских (по защите персональных данных), так и международных (PCI DSS). Из огромного числа наших проектов по ЗПДн (более четырёх десятков) хотелось бы выделить те, в которых мы выдали аттестаты соответствия по высоким классам защиты. Среди них: интернет-магазин, орган государственной власти, медицинское учреждение.
Требования же PCI DSS таковы, что обязателен аудит, а полное приведение в соответствие скорее используется как маркетинговое преимущество. Поэтому, несмотря на десятки проведенных нами аудитов, хотелось бы отметить проект, который принес реальную экономическую выгоду - нами был полностью подготовлен к аудиту и проведен сам аудит по PCI DSS одного из крупнейших процессинговых центров России – UCS (КОКК).
Отличительная особенность компании «Инфосистемы Джет» – возможность реализации ИТ-проектов «под ключ», когда одновременно строится и основной функционал ИТ-системы и очень качественно выполняются требования по ИБ. Среди них особенно выделяется проект в одном из промышленных холдингов. В его рамках создавалась ИТ-инфраструктура, внедрялись приложения, портал и прочее, а также осуществлялась комплексная защита системы, включая защиту коммерческой тайны (в т.ч. внедрялось DLP-решение), защита государственной тайны и персональных данных с соответствующими аттестационными мероприятиями.
Отдельно выделю проекты, интерес к которым вызван, в том числе, кризисом, сокращением расходов и понижением лояльности персонала. Это построение систем противодействия утечкам конфиденциальной информации (систем класса DLP). В последнее время на российский рынок DLP вышли технологии мирового уровня – например, мы являемся одним из немногих партнеров компании Symantec по направлению DLP. И все же основная масса наших проектов основана на собственных разработках «Дозор-Джет», которые просты во внедрении, сравнительно недороги и обеспечивают быстрый результат. Интересно, что нашу технологию выбрали не столько компании уровня SMB, а крупнейшие телекоммуникационные компании, многие нефтедобывающие компании, промышленные холдинги. Количество DLP-проектов выросло почти в 2 раза, а общее кол-во инсталляций «Дозора» превысило 200.
На основе продукта Symantec DLP нами проведено несколько интересных пилотов, и начало массовых коммерческих внедрений мы связываем с оздоровлением экономической ситуации, с 2010 годом.
CNews: Каковы ваши планы развития ИБ-практики в ближайшее время? Как корректируется ваше предложение под актуальные запросы рынка?
Олег Слепов: Центр информационной безопасности компании «Инфосистемы Джет» имеет в своем составе мощную команду, которая «слушает рынок», следит за его тенденциями, а главное – общается с заказчиками и «нащупывает» актуальные для них проблемы.
Кроме уже упомянутых выше направлений, которые также получат свое развитие в ближайшее время, необходимо отметить задачу глобальной централизации оперативного управления информационной безопасностью. В рамках данных работ нашей компанией осуществляется внедрение процессов оперативного управления ИБ (управления событиями и инцидентами ИБ, управления уязвимостями, конфигурациями и соответствием требованиям, управления правами и ролями доступа), которые автоматизируются в рамках соответствующих технологических систем. Данное решение принято называть англоязычной аббревиатурой SOC – Security Information Center. Оно позволяет объективно поднять уровень защищенности информационных систем на качественно новый уровень, обеспечивает не иллюзорную, а реальную безопасность.
CNews: Спасибо.