Обзор подготовлен	При поддержке

Олег Самарин: Компаниям надо больше заботиться о безопасности информации своих клиентов

Об особенностях построения систем ИБ в телекоммуникационных компаниях рассказал CNews Олег Самарин, руководитель направления информационной безопасности компании AMT Group.

CNews: В прошедшем году рост ИТ-рынка замедлился более чем вдвое. Как это отразилось на рынке средств защиты информации?

Олег Самарин: Да, наблюдалось общее замедление роста ИТ-рынка. Однако рост рынка средств защиты информации все равно происходит быстрее общих темпов. Клиенты стали больше уделять внимания аспектам обеспечения информационной безопасности своих бизнес процессов. Во-первых, они стали понимать, что это важная часть бизнеса. Во-вторых, потому что производители стали предлагать комплексные решения, которые позволяют решить большинство вопросов ИБ.

На мой взгляд, рынок средств защиты информации динамично растет, и этот рост продолжится в будущем году. Причём это тенденция не только российского рынка, это, в первую очередь, глобальная тенденция, и мы ей следуем. Тем не менее, лавинообразного поглощения продуктов безопасности, как это было во всем мире после событий 11 сентября, не будет. Интерес к ИБ не пропал, просто такие решения рассчитаны не на один год, и на сегодняшний день большая часть компаний уже имеет в своем арсенале продукты по защите информации.

CNews: Какое влияние оказало принятие стандартов «общие критерии» на развитие отрасли? Каким образом стандартизация будет влиять на развитие отрасли в таких системах?

Олег Самарин: На мой взгляд, стандартизация не является панацеей. Без стандартов плохо, но само их присутствие не гарантирует решение всех проблем отрасли. В этом смысле отсутствие до недавнего времени стандартов, вернее отсутствие разумных стандартов, существенно тормозило развитие рынка и понимание самого процесса информационной безопасности у нас в стране. Старые неуклюжие документы сдерживали развитие.

Сейчас в этом отношении наблюдается большой прогресс, особенно с принятием ГОСТ/ИСО МЭК 15408, больше известным под названием «общие критерии». По крайней мере, мы сделали важнейший шаг, встали на общую платформу с другими игроками глобального рынка. Поэтому, на мой взгляд, принятие в России международных стандартов благотворно повлияет на общую ситуацию с развитием нашего рынка информационной безопасности.

CNews: Вы специализируетесь на построении и сопровождении систем передачи информации. В чём особенность построения систем защиты информации в таких системах?

Олег Самарин: Информационную безопасность правильно рассматривать, как часть более сложной системы, а именно системы бизнес-процессов компании или предприятия. В некоторых случаях информация это лишь одна из компонент бизнес-процесса. В случае систем передачи информации она становится одной из важнейших его частей. Поэтому главная особенность построения систем информационной безопасности в таких случаях заключается в необходимости значительно больших финансовых и ресурсных вложениях.

Более того, в случае систем передачи данных мы обеспечиваем не только безопасность самой компании, но и безопасность информации ее клиентов, а это уже значительно более масштабная задача. Именно поэтому, при построении сетей передачи данных нельзя игнорировать аспекты ИБ, и соответственно внимание к этим вопросам должно быть гораздо больше.

CNews: Традиционно телекоммуникационные и медиа-компании являются одними из самых инновационных в плане потребления информационных технологий. Можно ли сказать о них то же самое в отношении использования средств защиты информации?

Олег Самарин: Действительно, эти компании являются активными потребителями инновационных технологий. Что же касается защиты информации, то очень многое зависит от понимания руководством компании ответственности перед своим клиентом.

В таких компаниях речь должна идти не только о том, как сохранить свою информацию, но и о том, как защитить информацию своих клиентов. К сожалению, у нас в стране мало кто это понимает. Всем известны случаи с утечкой баз данных некоторых сотовых операторов, которые можно свободно купить. Ни одного реального судебного процесса против этих компаний мне не известно. На мой взгляд, компаниям, которые предоставляют свой сервис конечным пользователям, нужно больше уделять внимания защите, как передаваемой информации, так и информации о своих клиентах.

CNews: Насколько на ваш взгляд соответствуют системы защиты информации, используемые государственными органами и частными структурами, масштабам существующих угроз? Соответствует ли финансирование, выделяемое госструктурами на ИБ, уровню конфиденциальности информации в этих структурах?

Олег Самарин: Исторически проблемы безопасности в государственных структурах рассматривались достаточно серьезно, но применяемые средства были и часто остаются архаичными. Не редко используется запретительный подход, который тормозит развитие информационных систем в этих структурах.

Что касается финансирования, в последнее время ситуация значительно улучшилась. Стало больше средств выделяться на проектную работу, закупку и сопровождение средств защиты информации в государственных структурах. Вопрос в другом, насколько эффективны те решения, которые в силу нашего законодательства применяются в госструктурах.

В частных структурах построению систем безопасности должна предшествовать оценка информационных рисков. Необходимо оценить возможные потери, связанные с информацией, и вложения в информационную безопасность, которые должны предотвратить их. Риск-менеджмента, в классическом его виде, у нас в стране практически не существует. Большинство отечественных компаний ведут закрытый бизнес, и реальный риск-менеджмент они осуществлять не могут, потому что, зачастую, самый главный риск для них состоит в раскрытии структуры своего бизнеса.

На рынке существует огромный разрыв между компаниями, которые понимают, необходимость вложения средств в информационную безопасность, и теми, кто этого не понимает. Кроме того, каков риск, что в России кто-то подаст в суд на компанию за то, что его данные попали в общее пользование? В нашей стране — практически нулевой. Поэтому такие базы данных не будут в достаточной степени защищать. Это не значит, что компании не тратят средства на ИБ, просто они тратят их недостаточно эффективно или в недостаточном количестве. То же и с госструктурами. Вряд ли кто подаст в суд на Центробанк или ГИБДД, хотя утечка их баз данных произошла, и личная информация попала в общее пользование.

CNews: Какова, по вашим оценкам, отраслевая структура потребления продуктов и услуг в сфере ИБ?

Олег Самарин: Прежде всего, нужно сказать, что самым интенсивным потребителем в сфере информационной безопасности являются банковские и финансовые структуры. Особенно иностранные банки, которые дорожат своей репутацией. У них существуют четкие регламенты, политика безопасности, отдельные структуры, занимающиеся исключительно ИБ. На втором месте — действительно крупные компании, особенно те, чья деятельность связана непосредственно с информацией.

В общем, в мире ситуация с обеспечением ИБ достаточно плачевная. К сожалению, компании пока тратят неадекватные деньги на безопасность. Часто речь идёт о процентах от ИТ-бюджета. Особенно часто компании недооценивают важность правильной эксплуатации систем безопасности. Реализуя архитектурную и аппаратную части, они часто пренебрегают подготовкой и подбором квалифицированных сотрудников ИБ, не проводят своевременный аудит и обновление системы безопасности. Все это приводит к тому, что суммарные затраты на ИБ исчисляются единицами процентов, а сами системы не в состоянии обеспечивать надлежащую защиту.

CNews: Часто решения по защите информации внедряются как дополнительный пункт в больших ИТ-проектах. Насколько часто ваши заказчики выступают с инициативой реализации специализированных проектов по развитию именно систем защиты информации?

Олег Самарин: Мы стремимся объяснить клиенту, что система информационной безопасности является важной частью информационной системы компании, поэтому часть ИБ присутствовала в наших проектах всегда. Тем не менее, в последнее время крупные компании стали обращаться с вопросами именно по созданию комплексной системы информационной безопасности, усовершенствованию или реинжинирингу существующих систем.

Вопрос не в том, как поставить межсетевые экраны и VPN, вопрос в том, как будут в дальнейшем эксплуатироваться все составляющие системы: система мониторинга, система управления, система корреляции событий и пр. Несколько лет назад заказчики не ставили перед собой таких вопросов.

Многие задачи компании не в состоянии решить самостоятельно, иногда они даже не понимают необходимость их решения или не допускают возможности из возникновения.

Современные технологии позволяют, например, организовать беспроводную точку доступа внутри компании на базе ноутбука, что может служить каналом утечки информации. Мало кто рассматривает такой вариант развития событий. Поэтому мы, например, рекомендуем крупным компаниям в числе прочих мер безопасности проводить радиообследование помещений. Таких проблем множество, и для их решения необходимы квалифицированные специалисты, которых зачастую нет в компаниях.

CNews: По итогам 2004 года компания АМТ Group вошла в рейтинг “CNewsFAST: Самые быстрорастущие ИТ-компании России”. Каков вклад в столь значительные темпы роста подразделения, занимающегося защитой информации?

Олег Самарин: За последний год наше направление информационной безопасности значительно усилилось, особенно в профессиональном плане. Что касается вклада подразделения ИБ в рост компании, то он не такой большой, как хотелось бы.

Дело в том, что зачастую оборудование для ИБ значительно дешевле, чем, например, для видеоконференцсвязи или IP телефонии. И в первую очередь именно направление телекоммуникаций внесло наибольший вклад в рост компании.

Тем не менее, за последний год наш рост в области ИБ рост был значительный. Это связано с тем, что мы расширили спектр услуг, а заказчики созрели для их потребления. Кроме того, доступность технологий передачи данных подстегивает заказчиков искать адекватные высокопроизводительные решения в области информационной безопасности.

CNews: Какие наиболее интересные проекты в сфере информационной безопасности были реализованы АМТ Group за последний год?

Олег Самарин: В процессе исполнения проектов по ИБ, мы подписываем с каждым нашим заказчиком документ о неразглашении информации. Могу лишь сказать, что наши основные клиенты это телекоммуникационные компании и провайдеры всех возможных классов: интернет, телефонные и сотовые операторы. Особенно хочу отметить, что крупные компании ВПК вкладывают деньги в свою информационную структуру и в информационную безопасность. С одной стороны они выполняют военные заказы, требующие соблюдения режима секретности, а с другой, выходят на мировой рынок, вступают в международные консорциумы, и их зарубежные заказчики требуют соблюдения всех правил безопасности, особенно когда происходит процесс передачи лицензий на технологии. Это я могу сказать по опыту работы с такими клиентами.

CNews: Какие тенденции будут определять развитие рынка информационной безопасности России в ближайшие несколько лет?

Олег Самарин: Нам часто не хватает, к сожалению, здравого взгляда на некоторые проблемы. Не надо изобретать наши отечественные законы Ньютона или аэродинамики, есть вещи, которые носят глобальный характер. Единственные верный подход к информационной безопасности — системный, все остальные ведут в тупик. Попытки защищаться от нарушителя бесперспективны, надо защищать информацию. Это два различных подхода к построению систем ИБ и непонимание этого сильно мешает развитию отрасли.

Существует множество проблем. Например, необходимость лицензирования использования иностранных средств криптографии очень сильно сдерживает прогресс нашего рынка. Понимание этих проблем есть у многих, однако реализация необходимых мер происходит крайне медленно. Я думаю, что через 2-3 года мы к этому придем, и многие вопросы будут пересмотрены. Возможно, часть продуктов ИБ выведут из области обязательно лицензирования и сертификации. Понятно, что я, как потребитель, из двух продуктов скорее выберу сертифицированный (если я доверяю компетенции сертифицирующих организаций). Но сегодня мне сертифицированный продукт навязывают, и это происходит лишь потому, что кто-то хочет добиваться конкурентных преимуществ административными мерами.

Уверен, что системный подход построения систем информационной безопасности будет определять дальнейшее развитие рынка. Также будет расти спрос на аутсорсинг. Системы становятся все более сложными, а квалифицированного персонала не хватает. Естественно, в вопросах информационной безопасности данный процесс будет развиваться несколько медленнее, потому что здесь степень доверия должна быть гораздо выше. Тем не менее, к этому есть предпосылки. С точки зрения технической поддержки мы уже давно оказываем помощь крупным компаниям в рамках модели аутсорсинга. Что касается аутсорсинга ИБ, то люди теперь не боятся об этом говорить и готовы обсуждать подобные вопросы — это уже хороший показатель.

CNews: Спасибо.