Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Альберт Тележко: Однозначно можно констатировать возрастающую роль организационной составляющей при построении систем безопасности

На вопросы CNews ответил Альберт Тележко, начальник отдела информационной безопасности компании «Систематика».

CNews: В 2004 году многие эксперты отмечали отложенный спрос на ИБ в России, особенно со стороны госсектора. Как это сказалось на динамике рынка в 2005?

Альберт Тележко: В 2005 году госсектор действительно стал играть более активную роль в росте ИТ-отрасли. Завершение основных этапов административной реформы к началу 2005 года обеспечило рост потребностей в области информатизации и построения единого информационного пространства органов государственной власти.

Увеличение объема работ, связанных с информатизацией федеральных и региональных органов власти и автоматизацией деятельности компаний с государственным участием, повлекло за собой повышение интереса к решениям в области безопасности. Причем за прошедший год основная масса работ в сфере ИБ рассматривалось не в качестве самостоятельных проектов, а как часть комплексных проектов автоматизации. В этой связи, общий рост рынка ИБ, скорее, связан с увеличением числа комплексных проектов, в которых особое внимание уделяется информационной безопасности.

CNews: Чем обусловлен повышенный интерес отдельных вертикальных рынков к средствам защиты информации и бизнеса в настоящий момент?

Альберт Тележко: В проектах построения сетей передачи данных, систем обработки данных и других инфраструктурных решений, реализуемых в интересах госкомпаний и органов власти, возникают дополнительные требования, описанные в стандартах Гостехкомиссии и ФСТЭК России. В этой связи интерес к системам ИБ со стороны госсектора продиктован нормативными документами, что позволяет регулирующим органам влиять на динамику развития рынка.

Кроме нормативных документов, регулирующих спрос на решения в области ИБ, существуют отраслевые стандарты. В частности, при построении информационных систем в финансовой сфере применяются стандарты ЦБ России, информационные системы топливно-энергетического комплекса требуют ссылки на ОСТы Газпрома и т.д. Таким образом, нормативная база определяет минимальный уровень спроса в сфере ИБ со стороны организаций с государственным участием или органов власти.

С другой стороны, есть отрасли, в которых сложился традиционный интерес к системам защиты информации. Яркий пример тому — финансовые и телекоммуникационные компании. Можно выделить несколько причин популярности систем информационной безопасности в этих компаниях. Безопасность является здесь неотъемлемой частью бизнеса — именно поэтому здесь можно наблюдать достаточно высокую степень вовлеченности руководства в решение вопросов защиты информации.

CNews: Многим российским разработчикам, вероятно, «на руку» ограничения, существующие на использование иностранных средств защиты в госсекторе. Что можно сказать о тенденциях в корпоративном сегменте, где подобных ограничений практически нет?

Альберт Тележко: Ограничений, подобных госсектору, нет, но в некоторых случаях при построении информационных систем существует объективная необходимость в использовании сертифицированных средств защиты информации: например, межсетевые экраны, средства антивирусного контроля, криптографические механизмы и др.

В этом случае интересно рассмотреть опыт построения «смешанных» систем, в которых совместно могут использоваться продукты западных и российских поставщиков. При этом обеспечение защиты данных полностью возлагается на российские разработки, которые при необходимости могут быть аттестованы на соответствие требованиям безопасности информации и сертифицированы по определенному классу. Такой подход, безусловно, имеет как свои «плюсы», так и «минусы». К последним можно отнести увеличение общей стоимости решения за счет интеграции различных продуктов. Но «смешанные» системы также имеют неоспоримое преимущество — они могут обеспечивать необходимый функционал для заказчика (что не могут гарантировать некоторые российские автоматизированные системы), и при этом иметь все шансы работать в соответствии с российскими стандартами в области обеспечения информационной безопасности.

Примером подобной «смешанной» системы может служить программно-технический комплекс «Аквалис», позволяющий интегрировать отечественные средства криптографической защиты информации в западные ERP системы (такие как mySAPBusinessSuite). Данное решение предполагает использование сертифицированных средств шифрования данных и соответствует требованиям Государственной технической комиссии РФ, а также Центра безопасности связи ФСБ/ФАПСИ РФ.

CNews: С каждым годом все большая доля выручки компаний приходится на профессиональные ИТ-сервисы. Какие услуги в сфере ИБ были, по вашим оценкам, наиболее востребованы в 2005 г.? К каким, наоборот, клиенты продолжают относиться с недоверием и почему?

Альберт Тележко: В корпоративном секторе среди крупных заказчиков в настоящий момент популярны комплексные решения, включающие программные и аппаратные средства обеспечения безопасности. При построении подобных систем востребованы в наибольшей степени услуги интеграции. Вместе с этим, активно продвигаются услуги по проектированию систем безопасности в рамках комплексных проектов по построению сетей передачи данных, систем хранения и обработки данных и др.

Построение систем ИБ как часть проектов по созданию ИТ-инфраструктуры выявляет еще одну важную особенность российского рынка. В настоящее время уделяется недостаточное внимание организационной составляющей системы безопасности, включающей такие основные ИТ-услуги как аудит, разработку корпоративных политик безопасности и т.п. Для сравнения, ситуация на российском рынке прямо противоположна европейской, где доля услуг в сфере защиты информации превышает в 2 раза долю поставок продуктов для обеспечения ИБ в рамках инфраструктурных проектов.

В 2005 году взрывного роста потребления ИТ-услуг в сфере информационной безопасности не наблюдалось, хотя однозначно можно констатировать возрастающую роль организационной составляющей при построении систем безопасности, что ведет к достаточно активному развитию таких направлений как аудит и аттестация на соответствие стандартам, разработка корпоративных правил и процедур в области ИБ. Так, например, в 2005 году наиболее востребованными в коммерческом секторе были услуги по аудиту информационных систем на соответствие требованиям ISO 17799, а для госсектора — по построению систем информационной безопасности, связанных с государственной тайной, и проведению мероприятий в рамках спецпроверок и специсследований объектов вычислительной техники.

CNews: Как соотносится количество проектов ИБ, реализованных вами в рамках масштабных ИТ-проектов, и «чистых» ИБ проектов?

Альберт Тележко: Такое соотношение можно охарактеризовать как 5:1 — пять комплексных ИТ-проектов к одному проекту только в сфере ИБ. Данная ситуация складывается, на мой взгляд, по двум причинам: с одной стороны, активно развивается ИТ-рынок, при этом растет число крупных проектов, частью которых является подсистема информационной безопасности. С другой стороны, компания «Систематика» предлагает широкий спектр решений для крупных корпоративных заказчиков. Именно поэтому, наше взаимодействие с клиентами имеет не эпизодический, а комплексный и долгосрочный характер, что подразумевает работу сразу по нескольким направлениям, в том числе в области информационной безопасности.

CNews: Какой наиболее интересный проект в сфере ИБ был реализован вами в 2005 г.?

Альберт Тележко: В 2005 году был реализован масштабный проект по построению многоуровневой интегрированной информационно-управляющей системы для ООО «Ямбурггаздобыча». Данная система предназначалась для обслуживания производственно-технологического комплекса Харвутинской площади ЯГКМ, входящего в состав «Ямбурггаздобычи». Система позволяет накапливать и обрабатывать большие объемы информации, касающиеся хозяйственной деятельности всего предприятия. В этой связи немаловажную роль при построении системы играла информационная безопасность.

В рамках проекта система ИБ должна обеспечивать защиту сразу по нескольким направлениям. Во-первых, должна быть реализована защита информационных ресурсов компании от несанкционированного воздействия. Во-вторых, должны быть защищены процессы обработки информации в технологическом комплексе — технологий, регламентов и процедур сбора, обработки, хранения и передачи информации. В-третьих, необходима защита информационной инфраструктуры технологического комплекса, включающей технические и программные средства хранения, обработки и передачи данных, каналы информационного обмена и телекоммуникации, а также объекты и помещения.

Для решения поставленных задач в рамках информационной безопасности было предусмотрено построение четырех основных подсистем: разграничения доступа, контроля целостности, межсетевого экранирования и шифрования межсетевых потоков. В результате проекта была построена комплексная система безопасности, соответствующая корпоративным стандартам «Газпрома» и обеспечивающая безопасность и непрерывность протекания технологических процессов организации.

CNews: Какие направления ИБ, по вашим прогнозам, будут наиболее востребованы в ближайшее время?

Альберт Тележко: С функциональной точки зрения, проекты в области ИБ условно можно разделить на три категории. Решения для защиты информации бизнес-приложений (систем класса ERP, АСУ ТП, систем управления ИТ-инфраструктурой), подсистемы ИБ, обеспечивающие защиту в составе инфраструктурных решений (центров обработки данных, локальных и магистральных сетей передачи данных ). И, наконец, решения для обеспечения физической безопасности объектов (биометрические системы допуска, охранные системы, технические средства защиты аудио- и видеоинформации)

В рамках такой классификации в настоящий момент наибольший интерес со стороны заказчиков предъявляется ко второй и третьей категории. Тем не менее, наибольший потенциал для развития существует у решений для защиты информации бизнес-приложений. Это связано с тем, что полноценная система защиты предполагает комплексный подход к ее построению, охватывающий все три категории решений — на уровнях физической защиты, аппаратной инфраструктуры и бизнес-приложений.

CNews: Спасибо