Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Айдар Гузаиров: Хаос обезопасить нельзя

На вопросы CNews ответил Айдар Гузаиров, директор центра системных технологий ICL-КПО ВС

CNews: Насколько вырос, на ваш взгляд, российский рынок ИБ в 2005 г? Какова динамика по сравнению с показателями предыдущих лет?

Айдар Гузаиров: Российский рынок информационной безопасности растет ежегодно. Эта тенденция стала стабильной, так как увеличивается интерес к сфере информационной безопасности не только у корпоративных клиентов, для которых это направление является одним из важнейших гарантов стабильности в работе, но и у государственных органов. В последние годы государство стало одним из лидеров по внедрению решений в сфере информационной безопасности, стремясь применять современные технологии, что вызывает появление новых стандартов и нормативных документов, регламентирующих работу и использование данных решений. Усиливающиеся требования госорганов по безопасности, надежности, отказоустойчивости информационных решений неизбежно вызывают качественные изменения на рынке систем безопасности в России.

CNews: Решение каких проблем, по вашему мнению, было наиболее актуальным для заказчиков в 2005 г?

Айдар Гузаиров: Если говорить о наших заказчиках, то 2005 год был отмечен высоким спросом на консалтинговые услуги в сфере информационной безопасности, в частности, на услуги аудита информационной безопасности. Сегодня заказчики хотят более четко представлять ту опасность, которая может угрожать их информационной системе, а значит и бизнесу. Наряду с этим в прошлом году актуальными были задачи управления информационной безопасностью.

Если говорить о мировых тенденциях в целом, то по данным исследований Ernst & Young соблюдение законодательных норм вышло на первое место в качестве фактора влияния на обеспечение информационной безопасности компании, опередив решения по борьбе с компьютерными червями и вирусами. Это стоит подчеркнуть, учитывая, что 2005 год отличали высокая активность вирусов и червей, и при этом быстро росли темпы их распространения и масштабы причиненного ущерба.

CNews: Вы являетесь одним из немногих крупных «не московских» интеграторов и работаете как со столичными заказчиками, так и с заказчиками из регионов. Какие характерные изменения в отношении к вопросам информационной безопасности за последнее время вы наблюдаете у столичных и региональных предприятий?

Айдар Гузаиров: До недавнего времени ситуация была такова, что столичные предприятия уделяли больше внимания информационной безопасности, чем региональные: были абсолютно разные подходы и требования. Крупные московские предприятия быстро осваивали и осваивают новые технологии и стремятся соответствовать международным стандартам информационной безопасности. Их стратегия в области информационной безопасности тесно сочетается с общими планами развития предприятия. Руководство компаний осознает возможные конкурентные преимущества, которые обеспечивают внедрение современных ИТ, в том числе и решений в сфере информационной безопасности. Это облегчает процесс построения отношений с заказчиком и упрощает общение с руководством предприятия, которое проявляет все большее понимание в этих вопросах.

Однако регионы нагоняют столицу высокими темпами. Сегодня, ИТ-службы и службы информационной безопасности региональных предприятий перестают играть роль «второстепенного» технического отдела, финансирование которого идет по остаточному принципу. Уровень ИТ-зрелости региональных предприятий растет не меньшими темпами, чем в столице.

Для регионов характерна высокая доля расходов на оборудование, но на сегодняшний день и вопросам интеграции, консалтинга, повышения эффективности информационной безопасности уделяется все больше и больше внимания. Предприятия отходят от «лоскутного» подхода к решению задач информационной безопасности. Это связано в основном с тем, что по мере насыщения компании «железом»: серверами, сетевым оборудованием, назревает необходимость в создании единого информационного поля, так как все оборудование и программное обеспечение разрозненно, и даже документация находится в разных источниках. Тут и возникает необходимость приведения в порядок этого «хозяйства», от которого напрямую зависит степень защищенности. Руководство начинает осознавать, что пока не наведешь порядка в ИТ-инфраструктуре предприятия, говорить о безопасности бесполезно, потому что хаос обезопасить нельзя.

CNews: Специалисты отмечают уверенный рост спроса на консалтинговые услуги в сфере ИБ. Можно предположить, что это в первую очередь относится к крупным клиентам. Возрастает ли, по вашему мнению, интерес к таким услугам со стороны малого и среднего бизнеса?

Айдар Гузаиров: Сегодня российское понятие малого и среднего бизнеса отличается от общемирового. Если в мировой практике к рынку SMB относят предприятия с количеством сотрудников от 100 до 500 человек, то по меркам России — это предприятия с количеством служащих от 50 до 100 человек. Для этих предприятий на сегодняшний день актуальны в основном консультационные услуги по выбору оптимального решения или программного обеспечения и их поставка. Из внешних услуг предприятиями SMB так же востребованы услуги по поддержке программного и аппаратного обеспечения.

По нашим оценкам, за прошедший год в услугах консалтинга в области информационной безопасности предприятия SMB были заинтересованы в меньшей степени, чем в других ИТ-услугах. Такие услуги как обследование информационных систем предприятия, аудит и формирование системы менеджмента информационной безопасности для средних и мелких предприятий пока не актуальны. Это связано в первую очередь с достаточной высокой стоимостью такого рода работ, и с тем, что они предназначены в основном для крупных предприятий с масштабной ИТ-инфраструктурой..

CNews: Аудит информационной безопасности сейчас очень актуален для крупных компаний с которыми вы работаете. Какую роль он играет для этих предприятий?

Айдар Гузаиров: Интенсивное развитие отрасли информационных технологий и рост зависимости бизнес-процессов предприятия от качества и эффективности функционирования корпоративной информационной системы повышает роль обеспечения информационной безопасности. Информационные системы многих предприятий состоят из программных продуктов и приложений старых версий, не удовлетворяющих современным требованиям и стандартам по информационной безопасности. При этом, они все еще обеспечивают многие бизнес-процессы организации. Низкая защищенность таких информационных приложений — это очевидный недостаток, влияющий на информационную безопасность предприятия в целом.

Для принятия обоснованных и своевременных решений в области информационной безопасности предприятиям необходимо наличие полноценных и адекватных данных о состоянии информационной системы и защищенности активов организации.

Проведение аудита информационной безопасности на всех этапах жизненного цикла информационной системы даст возможность адекватно оценить состояние защищенности ее ресурсов. Наличие этих данных позволит организации правильно планировать и реализовывать меры, направленные на повышение уровня информационной безопасности.

CNews: Какие интересные проекты в сфере ИБ были реализованы вами в 2005 г?

Айдар Гузаиров: Прошедший год был насыщенным: нами было реализовано более 70 проектов. К наиболее интересным проектам можно отнести внедрение комплексной системы антивирусной защиты во всех филиалах ООО «Сургутгазпром». Проект был сложным и масштабным, нашим инженерам пришлось объехать практически весь Ханты-Мансийский округ. Кроме того, в рамках всего предприятия была разработана политика антивирусной защиты. Это дало возможность определять задачи и ответственность сотрудников ООО «Сургутгазпром» в плане вирусных угроз, эксплуатации системы антивирусной защиты и т.д.

Так же из особо интересных можно отметить два проекта по проведению аудита информационной безопасности для газотранспортных предприятий. Очень важно, что во время реализации таких консалтинговых проектов наши специалисты обобщают опыт, знания о структуре и принципах работы подобных предприятий, об особенностях их бизнес-процессов. От проекта к проекту представление о типичных проблемах предприятий данной отрасли становится все более и более комплексным, и понимание потребностей заказчика выходит на качественно новый уровень.

В своем регионе мы провели масштабный проект по созданию защищенной сети передачи данных для дочерней компании ОАО «Газпром» — ООО «Таттрансгаз», которая объединила все удаленные филиалы этого предприятия. Система передачи данных была успешно аттестована ФСТЭК России в этом же году.

CNews: Какие качественные изменения на российском рынке ИБ можно ожидать в ближайшие год-два?

Айдар Гузаиров: Рынок, безусловно, будет продолжать расти. Во-первых, ужесточился контроль вопросов информационной безопасности предприятий со стороны государства. К примеру, в республике Татарстан начала свою работу межведомственная комиссия совета безопасности, которая уже проводит проверки предприятий на соответствие требованиям стандартов в области информационной безопасности. Во-вторых, все сильнее становится конкуренция российских предприятий как между собой, так и с зарубежными представителями. Для того чтобы сохранять свои позиции на рынке, им необходимо всерьез заниматься автоматизацией бизнес-процессов, и, как следствие, обеспечивать необходимый уровень защиты информации.

Очевидно, что предприятия будут стремиться освоить и применять в своем бизнесе новые технологии, несущие в себе потенциал для увеличения конкурентоспособности. Этого требует современный бизнес. Но новые технологии несут с собой и новые риски, сопровождаются наличием серьезных угроз. В ближайшие два года этот фактор так же станет стимулом обеспечения информационной безопасности для большинства компаний.

CNews: Спасибо.