Обзор подготовлен
Вячеслав Железняков:
Российский рынок ИБ очень завязан на compliance
На вопросы CNews отвечает Вячеслав Железняков, руководитель департамента информационной безопасности Softline.
CNews: Какие тренды на рынке ИБ сегодня вы бы выделили?
Вячеслав Железняков: О трендах говорят сегодня много и на каждом шагу. Общие тенденции ИТ-рынка обуславливают особенности сегмента информационной безопасности. Консьюмеризация, мобильность, облачность, развитие онлайн- банкинга – эти тренды сегодня являются определяющими в формировании портфеля услуг российских игроков рынка. Поэтому наиболее актуальные тренды можно сформулировать так: ориентация на безопасность персональных мобильных устройств, защита дистанционного банковского обслуживания, облачная безопасность и защита виртуальной инфраструктуры. Очевиден интерес рынка к высокопрофессиональным «безопасным сервисам» – сложным техническим аудитам, пен-тестам, глубокому анализу систем и приложений – это дает компаниям понимание реального уровня информационной безопасности и позволяет донастроить существующую систему и средства защиты в соответствии с политиками и стандартами ИБ.
CNews: В чем вы видите специфику российского рынка ИБ?
Вячеслав Железняков: Очевидно, что российский рынок информационной безопасности еще недостаточно насыщен, и это – главное его отличие от зарубежного. Российская действительность такова, что рынок ИБ очень завязан на compliance. «Зарегулированность» этой сферы законами «О персональных данных» (ФЗ-152), «Об электронной цифровой подписи (об цифровой подписи)» (ФЗ-63), «О коммерческой тайне» (ФЗ-98), «О национальной платежной системе» (ФЗ-161) обуславливает стабильный спрос со стороны российских компаний на услуги по соответствию требованиям.
В России безопасность «вышла» из ИТ, и это еще одна его особенность. До сих пор многие ИТ-директора в российских компаниях занимаются вопросами безопасности, хотя этот тренд уже теряет свою актуальность: информационная безопасность выделяется в отдельное структурное подразделение со своим штатом специалистов и кругом решаемых задач. В России безопасникам живется сложно, потому как обоснование крупных инвестиций в эту сферу перед генеральным руководством – довольно нетривиальная задача. Показатель ROSI (Return on security investment) напрямую связан с финансовой оценкой рисков информационной безопасности. В конечном итоге, объем инвестиций в информационную безопасность зависит от того, какие остаточные риски руководство компании готово принять.
CNews: Какие специфические требования, с точки зрения ИБ-проектов, предъявляет ФЗ 152 и требует ли он дальнейшей доработки?
Вячеслав Железняков: Особо специфических требований закон не предъявляет. Как и любая методология или стандарт обеспечения информационной безопасности, 152-ФЗ предъявляет требования организационного и технического характера. К сожалению, в случае с требованиями закона «О персональных данных» многие требования можно назвать избыточными, например, требование о применении средств защиты информации, прошедших процедуру оценки соответствия, т.е. сертификацию в органах ФСТЭК и ФСБ России. Из-за особенностей сертификации многие производители не сертифицируют свои продукты и, как результат, многие хорошие средства защиты информации нельзя декларировать как средство защиты персональных данных.
Другими «специфическими» требованиями можно назвать изменения в законодательстве. С момента принятия закона в 2006 году только технические требования по защите персональных данных претерпели уже несколько изменений. И они продолжают меняться. В частности, буквально на днях было принято новое Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Данное постановление отменяет постановление Правительства Российской Федерации от 17 ноября 2007 г. №781 , а также меняет требования по защите ПДн и саму классификацию информационных систем. Следующим шагом, скорее всего, будет внесение изменений в Приказ ФСТЭК № 58 от 5 февраля 2010. Таким образом, требования ФЗ-152 менялись, меняются и еще будут меняться в дальнейшем.
CNews: По вашему мнению, технологии ИБ уже созрели для использования в облаках?
Вячеслав Железняков: Уже сейчас многие компании активно пользуются технологиями ИБ, которые расположены на мощностях третьих компаний. Сервисы, которые получают такие компании, – это очистка трафика от спама, защита каналов доступа от DDoS-атак, тестирование внешнего и внутреннего периметра на уязвимости – не требуют широкой интеграции с инфраструктурой компании, их легко подключить, использовать и отсоединить при необходимости.
Особняком стоят широко интегрированные комплексные решения, когда клиент покупает, например, программу в виде сервиса и необходимо обеспечивать не только доставку приложения до клиента, но и усиление безопасности доступа, шифрования информации в облаке, контроль политик безопасности на рабочей станции, с которой производится доступ.
Подобные сервисы возможно реализовать уже сейчас, но пока требования у клиентов к безопасности доступа и хранения информации в облаке недостаточно сформированы и на практике не реализуются.
С технической точки зрения технологии готовы, необходимо доверие конечных заказчиков к облакам и конкретные требования клиентов к уровню безопасности получаемых сервисов.
Если говорить о дальнейшей доработке, то ее требуют не технологии, а законодательство в части обработки персональных данных в облаках. Законодательство не делает различий между физическим рабочим местом, сервером и виртуализированной платформой. И в этом ключевая проблема обеспечения безопасности персональных данных в облаках.
CNews: Насколько технологии безопасности готовы для использования в виртуальных средах?
Вячеслав Железняков: Практически все разработчики программного обеспечения заявляют о наличии и поддержке работоспособности выпускаемых решений для виртуальных сред. Эта поддержка выражается в наличии программно-аппаратных комплексов, а также виртуальных серверов, если речь идет о клиент-серверных технологиях. Клиенты, находящиеся на виртуализированных рабочих местах, не производят процессорно-нагрузочные вычисления в один момен, что предотвращает т.н. “шторм ”. Помимо поддержки работы старых средств в виртуализированных средах появляются новые продукты, изначально ориентированные и спроектированные для обслуживания виртуализированных серверов и рабочих мест. Хорошим примером является антивирусное ПО, в котором модуль проверки вынесен в отдельную виртуальную машину и проверка файлов конечных устройств осуществляется через функции доступа гипервизора.
Как видно выше, технологии безопасности не будут являться тем звеном, которое станет тормозить переход к виртуализаци. Безопасность идет шаг в шаг с современными тенденциями и не только производит поддержку виртуализации, но и выпускает новые продукты, целиком ориентированные на виртуальные среды.
CNews: Какие требования к ИБ предъявляет развитие мобильных технологий? Есть ли у вас проекты/решения, связанные с ИБ в мобильной сфере?
Вячеслав Железняков: Мобильная среда с каждым годом все активнее и активнее проникает в деятельность каждой компании. Поэтому сейчас мы все чаще получаем от клиентов запросы, связанные с необходимостью обеспечения безопасности данной сферы.
Требования безопасности к мобильным технологиям зависят от конкретных задач. Часто клиенты хотят иметь доступ к своему рабочему окружению из собственных мобильных устройств – планшетов, смартфонов. В таком случае мы работаем на минимизацию рисков использования недоверенной среды (конечное устройство может быть заражено вредоносным ПО) и передачи информации по недоверенным каналам связи, в которых могут быть перехвачены как аутентификационные данные пользователя, так и сама передаваемая информация.
Помимо всего прочего, желательно обеспечивать безопасный доступ пользователя к ресурсам интернета – производить очистку трафика от вредоносного ПО и вредоносных воздействий извне, как это обычно делается внутри корпоративной сети.
Не нужно забывать про особенности, присущие именно мобильным устройствам, – высокий риск потери или кражи. При этом злоумышленник может получить любую информацию, которая содержится на устройстве и получить доступ во все информационные системы, с которыми у устройства настроен прозрачный вход. Softline успешно решает все поставленные задачи, предлагая клиентам комплексные решения: предотвращение неавторизованного доступа к мобильному устройству; шифрование информации на самом устройстве; усиленное шифрование каналов связи; очистка трафика, поступающего на мобильное устройство, от вредоносного ПО и вредоносных воздействий.
CNews: Каков ожидаемый размер выручки вашей компании по проектам ИБ в 2012 г? Какова доля этого направления в вашем бизнесе сегодня?
Вячеслав Железняков: По нашим оценкам спрос на проекты по информационной безопасности ежегодно растет на 27-30%, и до 2016 года при прочих равных этот тренд будет сохраняться. В достаточно широком сервисном портфеле компании Softline информационная безопасность занимает важное место: с 2009 года доля проектов по этому направлению в совокупной выручке компании возросла с 15% до 18% в 2011 году.
В перспективе мы ожидаем увеличения этой доли до 25%-30%. 2010 год оказался для нас определяющим: за это время мы значительно расширили линейку продуктов и услуг в области информационной безопасности, начали сотрудничать с новыми производителями решений, укрепили позиции в отношениях с давними партнерами, усилили компетенции в области системной интеграции, существенно увеличили численность экспертов-аналитиков и инженеров, занятых на проектах в области информационной безопасности.
CNews: Расскажите о крупнейших проектах по ИБ, реализованных вами в 2011-2012 гг.
Вячеслав Железняков: В нашем проектном портфеле за 2011-2012 год накоплено достаточно много успешных кейсов. Направление compliance до сих пор остается актуальным: необходимость соответствия требованиям госрегуляторов и законодательству делает спрос на услуги подобного рода достаточно стабильным. Мы успешно завершили крупные проекты по защите персональных данных в энергетическом холдинге «Кубаньэнергосбыт», «Бийскэнерго», фармацевтической компании Alliance Healthcare, ФГУП «Ростехинвентаризация – Федеральное БТИ», а также в ряде крупных организаций государственного сектора и сферы FMCG.
Также наблюдался активный спрос к проектам в области защиты от утечек – это и DLP-решения, и контентная фильтрация, антиспам-решения. Подобные проекты входят в «стандартный набор» каждой компании, поэтому спрос на них также достаточно стабилен. Среди выполненных проектов: внедрение DLP-системы на крупнейшем машиностроительном предприятии – НПО «Сатурн», для финансовой отрасли (например, TRUST-банк).
За последний год мы также отметили активный интерес компаний к более технологичным услугам – это тесты на проникновение, аудит дистанционного банковского обслуживания, аудит безопасности исходного кода приложений. В этом направлении мы выполнили ряд проектов для организаций финансовой сферы.
CNews: Каким вы видите российский рынок ИБ через пять лет?
Вячеслав Железняков: Рынок достигнет стадии насыщения, темпы роста замедлятся. Ключевой пул решений будет состоять из сложных высокотехнологичных продуктов и услуг, ориентированных на удовлетворение потребностей конкретных заказчиков.
Со стороны игроков рынка сохранится тенденция к укрупнению и слияниям. На рынке останется несколько достаточно крупных и сильных игроков, которые будут предлагать комплексные решения индивидуально под каждого клиента.
CNews: Спасибо.
