Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

О чем молчат производители средств защиты

Сегодня практически все стремятся использовать средства защиты своих информационных активов. Многие посещают выставки и конференции, читают статьи, смотрят рекламные материалы, посвященные информационной безопасности. Однако всю правду о надежности выбранной защиты конечный пользователь часто не знает — производители стараются умалчивать о своих слабых сторонах.

Поддержка

Любой производитель скажет, что его решение обладает качественной поддержкой. Однако умолчит о двух аспектах — времени работы и языке поддержки. Второй фактор для российских разработчиков не актуален, а вот для западных компаний является камнем преткновения. Российские специалисты, в своей массе, не могут общаться на разговорном английском (письменно же можно решать далеко не все вопросы), а иностранный представитель очень редко имеет в штате поддержки русскоговорящих экспертов.

Первый умалчиваемый аспект, наоборот, имеет первостепенное значение, как правило, именно для отечественных компаний. Очень небольшое количество разработчиков обладает круглосуточным центром технической поддержки, а те, у которых он есть, преподносят этот факт как нечто сверхъестественное. При том, что в стране с таким количеством часовых поясов, как у нас, 24-тичетырехчасовая поддержка является обязательным условием эффективной работы. Допустим, клиент во Владивостоке столкнулся с проблемой и должен общаться с московским производителем. Разница в часовых поясах просто не позволит им это делать по телефону. Общение же по электронной почте приводит к задержкам в одни сутки. Частичным решением данной проблемы является создание широкой партнерской сети, однако этот путь даст свой результат только в том случае, когда разработчик средств защиты сам перестанет продавать свои решения и конкурировать со своими партнерами. Но российские разработчики идут на это с большой неохотой — в отличие от западных, которые в абсолютном большинстве работают в России только через партнеров.

VPN

Технология VPN очень востребована российским потребителем, что приводит к появлению на рынке большого количества предложений. Однако иностранные поставщики умалчивают ряд тем, которые необходимо знать для правильного выбора. Во-первых, западные средства построения VPN не могут быть сертифицированы в России «как есть», так как не удовлетворяют ряду требований, предъявляемых Федеральной службой безопасности к таким решениям.

Во-вторых, согласно российскому законодательству, ввоз средств шифрования может осуществляться только при наличии соответствующей лицензии Министерства экономического развития и торговли (МЭРТ). А вот выполняют ли иностранные разработчики эти законы — вопрос особый. И если поставку VPN-оборудования еще можно осуществить в обход всех таможенных правил, то потенциальная замена запчастей приведет к тупику. На вопрос «Как было ввезено оборудование, для которого заказываются запчасти?», поставщик ответить не сможет.

В-третьих, если западный производитель решится встроить российские криптоалгоритмы в свои продукты, то вопрос с легитимностью ввоза оборудования, в которое будут встроены ГОСТы, все равно не снимается — с точки зрения отечественного законодательства, любые импортируемые на территорию России средства, содержащие функции шифрования (не важно по ГОСТу или по DESу/AESу), должны ввозиться только по лицензии.

И, наконец, если все-таки западный производитель утверждает, что имеет сертификат на свой VPN, надо внимательно посмотреть, на что он выдан и кто является заявителем. Возможно, имени «кричащего» вендора в сертификате вообще нет, а сам сертификат выдан на криптоядро.

Сертификация

В отличие от сертификата Минсвязи, который выдается на конкретную модель оборудования (и может применяться к любым экземплярам данной модели), в сертификате ФСТЭК указывается конкретный серийный номер сертифицируемого экземпляра или его партии. Таким образом, невозможно сертификат, полученный для экземпляра с номером N, применить к экземпляру с номером M или даже N+1. Поэтому встречающая в рекламных материалах фраза «сертификат ФСТЭК» говорит лишь о создании прецедента, и если вы хотите приобрести сертифицированную версию понравившегося вам решения, то сертификация должна проводиться именно для приобретаемого вами экземпляра. Кстати, заранее стоит уточнять о стоимости такой сертификации — может статься так, что ее цена превысит стоимость самого решения.

Данное заключение не касается сертификации серийного производства, применяемого многими российскими разработчиками. Западные же компании (исключая Microsoft) пока не могут похвастаться сертификацией своего производства — обычно они получают сертификат соответствия на единичный экземпляр или партию своих изделий.

Обучение специалистов

В большинстве материалов, рекламирующих средства защиты, много говорится о быстром внедрении, легкости управления и многих других аналогичных темах. Но из рассмотрения как-то выбивается вопрос: «А кто, собственно, будет внедрять и управлять рекламируемыми средства защиты?» Технологии пока не достигли такого уровня автоматизации, чтобы полностью исключить человеческий фактор. Но чтобы выполнить все, что написано в рекламе и документации, нужно обладать определенной квалификацией, которая достигается либо длительной и самостоятельной подготовкой «в боевых условиях», что чревато последствиями, либо путем прохождения соответствующего тренинга в учебном центре. К сожалению, далеко не каждый производитель (даже российский) обладает не только собственным учебным центром, но и даже курсами обучения. В итоге покупатель такой системы защиты остается с ней «один на один» и вынужден познавать все тонкости работы «на ходу».

Юзабилити

Многие начинающие компании большое внимание уделяют техническим характеристикам своих продуктов. Можно даже сослаться на известное правило «80/20» — 80 % техники и 20 % удобству работы с продуктом. Компании, понимающие специфику именно корпоративного рынка, «болеющие» за клиента и дорожащие своей репутацией, используют тоже правило, но с точностью наоборот — 80 % уделяется удобству работу и только 20 % — техническим особенностям. Под удобством работы обычно понимается удобство и скорость инсталляции и настройки, удобство управления большим количеством защищаемых узлов и устройств защиты, ролевое управление, контроль «здоровья» всех компонентов, мощная система подсказки, эффективные механизмы обновления и т.д. На этот аспект надо обращать пристальное внимание, и желательно собственноручно проверять такие заявления производителей, как «интуитивно понятный интерфейс».

Совокупная стоимость владения

Необходимо помнить про такое понятие, как совокупная стоимость владения (Total Cost of Ownership, TCO), о котором часто умалчивают практически все поставщики средств защиты. Одно дело говорить о стоимости рекламируемой системы в «X» долларов и совсем другое дело, когда на практике стоимость лицензии составляют лишь пятую-шестую часть всех затрат на приобретение, внедрение и эксплуатацию системы защиты. Иногда это становится неприятным сюрпризом для заказчика.

Интеграция с инфраструктурой

У производителя и потребителя системы защиты немного различается отношение к одной и той же продукции. Разработчик думает только о своем продукте, а заказчик о том, как этот продукт будет интегрирован в уже имеющуюся инфраструктуру. Причем не только инфраструктуру защиты, но и сетевое оборудование, базы данных, операционные системы, приложения и т.д. Все этим аспекты надо учитывать при выборе системы защиты. В противном случае придется потратить много ресурсов (финансовых, человеческих, временных) на эффективную интеграцию всех имеющихся систем в единое целое.

Соответствие бизнес-задачам

Если посмотреть на материалы, статьи, сайты, выступления, «исходящие» из рук и уст большинства производителей средств защиты, то можно заметить одну интересную тенденцию — информационная безопасность воспринимается как технологическая, тактическая и самостоятельная задача — в отрыве от других аспектов безопасности (физической, экономической и т.п.), процессов внедрения информационных технологий и стратегии развития бизнеса. Разработчики предлагают защиту периметра, антивирусы, PKI-системы, шифраторы и многое другие средства, совокупный объем продаж которых в России в прошлом году находился в промежутке между 230-250 миллионами долларов. Иными словами, все российские и большинство западных производителей предлагает некое техническое решение, которое на самом деле может и не решить проблем заказчика. Ведь не вирусы являются проблемой многих заказчиков, а целостность бизнеса, репутация и другие факторы, которые могут быть нарушены вследствие вирусов. Поэтому предлагать надо в первую очередь решение этих задач, а не просто коробку, содержащую антивирус.

Почему присутствует такое непонимание? На этот вопрос ответ дает компания Gartner, которая разработала модель зрелости использования информационных технологий. Эту модель можно транслировать и для информационной безопасности. Начальный уровень использования средств защиты (Gartner называет его нулевым) — это хаотическое применение технологий, не связанных в единую концепцию. Затем идет реактивный подход, хорошо иллюстрируемой русской пословицей «пока гром не грянет, мужик не перекрестится». Информация безопасность применяется только в ответ на какие-то угрозы — эпидемии, атаки, утечки информации и т.п. Очевидно, что эффективность такого подхода минимальна, т.к. угроза успевает нанести ущерб предприятию. Второй уровень называется проактивным — он заключается в предвосхищении некоторых угроз. Для этого используются несигнатурные методы обнаружения атак, контроль поведения и аномалий и т.п. Абсолютное большинство российских компаний находится либо на нулевом, либо на первом-втором уровнях модели зрелости ИБ. И не потому, что они не хотят расти, а потому что большинство представленных на рынке производителей сами находятся на одном из этих уровней.

Третий уровень модели зрелости представляет безопасность как сервис, с обеспечением гарантированного уровня качества, доступности и других показателей. И, наконец, последний четвертый уровень — это безопасность как один из бизнес-процессов. Переход к такому пониманию безопасности позволяет увязывать бизнес-стратегию потребителя с его стратегией безопасности, измерять эффективность информационной безопасности в понятных руководству метриках, способствовать росту бизнеса и даже получать дополнительные доходы от использования защитных технологий.

Алексей Лукацкий