Контакты
Подписка
МЕНЮ
Контакты
Подписка

Вячеслав Железняков: российский рынок ИБ очень завязан на compliance

Вячеслав Железняков: российский рынок ИБ очень завязан на compliance

Вячеслав Железняков: российский рынок ИБ очень завязан на compliance


23.11.2012



На вопросы CNews отвечает Вячеслав Железняков, руководитель департамента информационной безопасности Softline.

- Какие тренды на рынке ИБ сегодня вы бы выделили?

- О трендах говорят сегодня много и на каждом шагу. Общие тенденции ИТ-рынка обуславливают особенности сегмента информационной безопасности. Консьюмеризация, мобильность, облачность, развитие онлайн- банкинга – эти тренды сегодня являются определяющими в формировании портфеля услуг российских игроков рынка. Поэтому наиболее актуальные тренды можно сформулировать так: ориентация на безопасность персональных мобильных устройств, защита дистанционного банковского обслуживания, облачная безопасность и защита виртуальной инфраструктуры. Очевиден интерес рынка к высокопрофессиональным "безопасным сервисам" – сложным техническим аудитам, пен-тестам, глубокому анализу систем и приложений – это дает компаниям понимание реального уровня информационной безопасности и позволяет донастроить существующую систему и средства защиты в соответствии с политиками и стандартами ИБ.

- В чем вы видите специфику российского рынка ИБ?

- Очевидно, что российский рынок информационной безопасности еще недостаточно насыщен, и это – главное его отличие от зарубежного. Российская действительность такова, что рынок ИБ очень завязан на compliance. "Зарегулированность" этой сферы законами "О персональных данных" (ФЗ-152), "Об электронной цифровой подписи (об цифровой подписи)" (ФЗ-63), "О коммерческой тайне" (ФЗ-98), "О национальной платежной системе" (ФЗ-161) обуславливает стабильный спрос со стороны российских компаний на услуги по соответствию требованиям.

В России безопасность "вышла" из ИТ, и это еще одна его особенность. До сих пор многие ИТ-директора в российских компаниях занимаются вопросами безопасности, хотя этот тренд уже теряет свою актуальность: информационная безопасность выделяется в отдельное структурное подразделение со своим штатом специалистов и кругом решаемых задач. В России безопасникам живется сложно, потому как обоснование крупных инвестиций в эту сферу перед генеральным руководством – довольно нетривиальная задача. Показатель ROSI (Return on security investment) напрямую связан с финансовой оценкой рисков информационной безопасности. В конечном итоге, объем инвестиций в информационную безопасность зависит от того, какие остаточные риски руководство компании готово принять.

- Какие специфические требования, с точки зрения ИБ-проектов, предъявляет ФЗ 152 и требует ли он дальнейшей доработки?

- Особо специфических требований закон не предъявляет. Как и любая методология или стандарт обеспечения информационной безопасности, 152-ФЗ предъявляет требования организационного и технического характера. К сожалению, в случае с требованиями закона "О персональных данных" многие требования можно назвать избыточными, например, требование о применении средств защиты информации, прошедших процедуру оценки соответствия, т.е. сертификацию в органах ФСТЭК и ФСБ России. Из-за особенностей сертификации многие производители не сертифицируют свои продукты и, как результат, многие хорошие средства защиты информации нельзя декларировать как средство защиты персональных данных.

Другими "специфическими" требованиями можно назвать изменения в законодательстве. С момента принятия закона в 2006 году только технические требования по защите персональных данных претерпели уже несколько изменений. И они продолжают меняться. В частности, буквально на днях было принято новое Постановление Правительства РФ от 1 ноября 2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Данное постановление отменяет постановление Правительства Российской Федерации от 17 ноября 2007 г. №781 ,  а также  меняет требования по защите ПДн и саму классификацию информационных систем. Следующим шагом, скорее всего, будет внесение изменений в Приказ ФСТЭК № 58 от 5 февраля 2010. Таким образом, требования ФЗ-152 менялись, меняются и еще будут меняться в дальнейшем.

- По вашему мнению, технологии ИБ уже созрели для использования в облаках?

- Уже сейчас многие компании активно пользуются технологиями ИБ, которые расположены на мощностях третьих компаний. Сервисы, которые получают такие компании, – это очистка трафика от спама, защита каналов доступа от DDoS-атак, тестирование внешнего и внутреннего периметра на уязвимости – не требуют широкой интеграции с инфраструктурой компании, их легко подключить, использовать и отсоединить при необходимости.

Особняком стоят широко интегрированные комплексные решения, когда клиент покупает, например, программу в виде сервиса и необходимо обеспечивать не только доставку приложения до клиента, но и усиление безопасности доступа, шифрования информации в облаке, контроль политик безопасности на рабочей станции, с которой производится доступ.

Подобные сервисы возможно реализовать уже сейчас, но пока требования у клиентов к безопасности доступа и хранения информации в облаке недостаточно сформированы и на практике не реализуются.

С технической точки зрения технологии готовы, необходимо доверие конечных заказчиков к облакам и конкретные требования клиентов к уровню безопасности получаемых сервисов.

Если говорить о дальнейшей доработке, то ее требуют не технологии, а законодательство в части обработки персональных данных в облаках. Законодательство не делает различий между физическим рабочим местом, сервером и виртуализированной платформой. И в этом ключевая проблема обеспечения безопасности персональных данных в облаках.

- Насколько технологии безопасности готовы для использования  в виртуальных средах?

- Практически все разработчики программного обеспечения заявляют о наличии и поддержке работоспособности выпускаемых решений для виртуальных сред. Эта поддержка выражается в наличии программно-аппаратных комплексов, а  также виртуальных серверов, если речь идет о клиент-серверных технологиях. Клиенты, находящиеся на виртуализированных рабочих местах, не производят процессорно-нагрузочные вычисления в один момен, что предотвращает т.н. "шторм ". Помимо поддержки работы старых средств в виртуализированных средах появляются новые продукты, изначально ориентированные и спроектированные для обслуживания виртуализированных серверов и рабочих мест. Хорошим примером является антивирусное ПО, в котором модуль проверки вынесен в отдельную виртуальную машину и проверка файлов конечных устройств осуществляется через функции доступа гипервизора.

Как видно выше, технологии безопасности не будут являться тем звеном, которое станет тормозить переход к виртуализаци. Безопасность идет шаг в шаг с современными тенденциями и не только производит поддержку виртуализации, но и выпускает новые продукты, целиком ориентированные на виртуальные среды.

- Какие требования к ИБ предъявляет развитие мобильных технологий? Есть ли у вас проекты/решения, связанные с ИБ в мобильной сфере?

- Мобильная среда с каждым годом все активнее и активнее проникает в деятельность каждой компании. Поэтому сейчас мы все чаще получаем от клиентов запросы, связанные с необходимостью обеспечения безопасности данной сферы.

Требования безопасности к мобильным технологиям зависят от конкретных задач. Часто клиенты хотят иметь доступ к своему рабочему окружению из собственных мобильных устройств – планшетов, смартфонов. В таком случае мы работаем на минимизацию рисков использования недоверенной среды (конечное устройство может быть заражено вредоносным ПО) и передачи информации по недоверенным каналам связи, в которых могут быть перехвачены как аутентификационные данные пользователя, так и сама передаваемая информация.

Помимо всего прочего, желательно обеспечивать безопасный доступ пользователя к ресурсам интернета – производить очистку трафика от вредоносного ПО и вредоносных воздействий извне, как это обычно делается внутри корпоративной сети.

Не нужно забывать про особенности, присущие именно мобильным устройствам, – высокий риск потери или кражи. При этом злоумышленник может получить любую информацию, которая содержится на устройстве и получить доступ во все информационные системы, с которыми у устройства настроен прозрачный вход. Softline успешно решает все поставленные задачи, предлагая клиентам  комплексные решения: предотвращение неавторизованного доступа к мобильному устройству; шифрование информации на самом устройстве; усиленное шифрование каналов связи; очистка трафика, поступающего на мобильное устройство, от вредоносного ПО и вредоносных воздействий.

- Каков ожидаемый размер выручки вашей компании по проектам ИБ в 2012 г? Какова доля этого направления в вашем бизнесе сегодня?

- По нашим оценкам спрос на проекты по информационной безопасности ежегодно растет на 27-30%, и до 2016 года при прочих равных этот тренд будет сохраняться. В достаточно широком сервисном портфеле компании Softline информационная безопасность занимает важное место: с 2009 года доля проектов по этому направлению в совокупной выручке компании возросла с 15% до 18% в 2011 году.

В перспективе  мы ожидаем увеличения этой доли до 25%-30%. 2010 год оказался для нас определяющим: за это время мы значительно расширили линейку продуктов и услуг в области информационной безопасности, начали сотрудничать с новыми производителями  решений, укрепили позиции в отношениях с давними  партнерами, усилили компетенции в области системной интеграции, существенно увеличили численность экспертов-аналитиков и инженеров, занятых на проектах в области информационной безопасности.

- Расскажите о крупнейших проектах по ИБ, реализованных вами в 2011-2012 гг.

- В нашем проектном портфеле за 2011-2012 год накоплено достаточно много успешных кейсов. Направление compliance до сих пор остается актуальным: необходимость соответствия требованиям госрегуляторов и законодательству делает спрос на услуги подобного рода достаточно стабильным. Мы успешно завершили крупные проекты по защите персональных данных в энергетическом холдинге  "Кубаньэнергосбыт",  "Бийскэнерго", фармацевтической компании Alliance Healthcare, ФГУП "Ростехинвентаризация – Федеральное БТИ", а также в ряде крупных организаций государственного сектора и сферы FMCG.

Также наблюдался активный спрос к проектам в области защиты от утечек – это и DLP-решения, и контентная фильтрация, антиспам-решения. Подобные проекты входят в "стандартный набор" каждой компании, поэтому спрос на них также достаточно стабилен. Среди выполненных проектов: внедрение DLP-системы на крупнейшем машиностроительном предприятии – НПО "Сатурн", для финансовой отрасли (например, TRUST-банк).

За последний год мы также отметили активный интерес компаний к более технологичным услугам – это тесты на проникновение, аудит дистанционного банковского обслуживания, аудит безопасности исходного кода приложений.  В этом направлении мы выполнили ряд проектов для организаций финансовой сферы.

- Каким вы видите российский рынок ИБ через пять лет?

- Рынок достигнет стадии насыщения, темпы роста замедлятся. Ключевой пул решений будет состоять из сложных высокотехнологичных продуктов и услуг, ориентированных на удовлетворение потребностей конкретных заказчиков.

Со стороны игроков рынка сохранится тенденция к укрупнению и слияниям. На рынке останется несколько достаточно крупных и сильных игроков, которые будут предлагать комплексные решения индивидуально под каждого клиента.

Источник:
CNews.ru