Обзор подготовлен	При поддержке

Андрей Калашников: Понятия комплексной и дорогостоящей системы защиты не являются синонимами

О том, кто должен отвечать за информационную безопасность в компании и о том, как будет развиваться рынок ИБ в ближайшие годы, рассказал Андрей Калашников, директор Центра технологий безопасности компании IBS.

CNews: Насколько сильно темпы роста объема продаж на рынке защиты информации коррелируют с ростом продаж на ИТ-рынке в целом? Какое влияние оказала проведенная административная реформа на рынок ИБ?

Андрей Калашников: Несколько лет темпы роста рынка информационной безопасности опережали рост рынка ИТ в целом. В настоящее время можно предположить, что, несмотря на некоторое замедление темпов роста сегмента ИБ, развитие этого направления в ближайшие годы будет по-прежнему опережать рост рынка ИТ.

Что же касается административной реформы, то ее влияние на рынок ИБ до настоящего времени состояло лишь в том, что процесс контроля и лицензирования сферы ИБ со стороны государственных органов был более запутанным.

CNews: Согласны ли вы с распространенным мнением, что уровень защиты корпоративных систем в России не уступает западному?

Андрей Калашников: Для того чтобы ответить на данный вопрос, требуется четко определить, во-первых, о каких корпоративных системах и каких механизмах защиты идет речь, и, во-вторых, что значит «не уступает». В России, как и на Западе, компании находятся на разных уровнях зрелости, с точки зрения подхода к информационной безопасности, поэтому сравнивать их представляется бессмысленным. Если же сравнивать компании, относящиеся к одному уровню, то, поскольку имеют место схожие угрозы в области информационной безопасности, используется схожий набор механизмов их парирования. Большинство механизмов обеспечения ИБ реализуется либо за счет продуктов западных фирм, либо за счет их российских аналогов, поэтому говорить о чьем-либо преимуществе не приходится.

CNews: Кому, на ваш взгляд, целесообразно передавать функции по координации защиты информации в организации—службе безопасности (как это часто бывает) или все-таки ИТ-департаментам?

Андрей Калашников: Прежде чем ответить на вопрос, кому передавать функции по координации защиты информации, нужно понять, почему эта дилемма в организациях возникает. В нашей стране исторически сложилось так, что информационная безопасность — в некотором роде «сирота». Согласно Закону «Об информации, информатизации и защите информации», информация — это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Под это определение подпадает любая корпоративная информация, независимо от того, на каком носителе она представлена. Сохранность бумажных документов обеспечивает отдел безопасности, защита же информации, представленной в электронном виде, часто становится прерогативой ИТ-департамента. В результате под информационной безопасностью в каждой организации понимается что-то свое. Если на предприятии есть подразделение, в названии которого содержится слово «информационная», например, Департамент информационных технологий, «головная боль» по обеспечению информационной безопасности ложится на него. Если есть Служба безопасности, то информационную безопасность передают в ее ведение. Если же на предприятии или в организации есть обе эти структуры, то, как правило, решить, кто будет заниматься вопросами информационной безопасности, и как действия обеих структур будут координироваться между собой, очень сложно. Решение проблемы в каждом конкретном случае существенным образом зависит от уровня понимания руководством важности проблематики ИБ, а также от бизнес-процессов, информационной системы, и от того, насколько информационная компонента влияет на бизнес-компоненту.

В соответствии с моделью зрелости процессов информационной безопасности по Gartner (Gartner’s Security Process Maturity Model), каждая организация в своем развитии проходит четыре фазы развития. На первой фазе никто не занимается ИБ и финансирование отсутствует. На второй ИБ рассматривается как техническая проблема и финансируется из ИТ-бюджета. На третьей ИБ рассматривается как организационно-техническая проблема и финансируется из отдельного бюджета, создана специальная группа ИБ. На самой зрелой фазе развития в организации есть CISO (Chief Information Security Officer), который руководит выделенным подразделением ИБ, стратегические вопросы ИБ рассматриваются на уровне высшего руководства компании.

Таким образом, на каждом уровне зрелости организации существует своя модель разграничения ответственности за ИБ и в «идеальной», т.е. самой зрелой, должна быть создана отдельная служба ИБ, руководитель которой будет представлен на самом высоком уровне управления.

Существуют и иные варианты решения указанной проблемы, например, в настоящее время, появилась возможность воспользоваться услугами аутсосрсинга информационной безопасности со стороны третьих компаний.

CNews: Какова структура продаж продуктов и услуг IBS в сфере защиты информации? На какие решения спрос растет наиболее заметно?

Андрей Калашников: Если рассматривать продукты ИБ, как продукты для обеспечения конфиденциальности, целостности и доступности информации, то мы получим очень широкий список, содержащий наименования, которые зачастую не ассоциируются с информационной безопасностью.

Если брать «классический» набор продуктов и услуг, которые «де факто» относятся к ИБ и предлагаются IBS, то среди них продукты составляют около 65%, а услуги—35%. Спрос на консалтинговые услуги растет наиболее заметно. Из консалтинговых услуг можно выделить аудит и анализ, а также оценку рисков (около половины обращений наших заказчиков, связано с данными работами).

CNews: Биометрические средства защиты широко используются на западе. Из вашего опыта, насколько популярны решения биометрии в России? Какие перспективы у них в нашей стране?

Андрей Калашников: На сегодняшний день уже почти в 100 странах мира электронные документы используются в качестве удостоверения личности.

В настоящее время вопросы использования биометрических параметров для защиты информации приобретают для России важное значение в связи с предполагаемым с 2007 года введением новых загранпаспортов с электронной идентификацией, которые будут содержать цифровое фото, считываемую строку и микросхему с биометрическими данными. Эта работа ведется в рамках Концепции создания государственной системы изготовления, оформления и контроля паспортно-визовых документов нового поколения, одобренной решением Правительства РФ от 15 марта 2005 г. № 277-р.

Очевидно, что работы в этом направлении приведут к развитию технологической и нормативной базы в области биометрической идентификации личности. Так, Ростехрегулирование уже направило в адрес международного подкомитета по стандартизации в области биометрии (ISO/IEC JTC1/SC37 Biometrics) предложение о включении трехмерного цифрового изображения лица, наряду с обычной двухмерной фотографией, в формат данных, предназначенных для хранения, обмена и использования при автоматическом распознавании личности.

Вместе с тем, широкомасштабное внедрение биометрических средств защиты информации в нашей стране будет сдерживаться по ряду объективных и субъективных причин.

Во-первых, отсутствует полномасштабная система стандартов на средства биометрической защиты информации. Существуют только стандарты биометрической идентификации личности статическими методами: по отпечаткам пальцев, форме лица и радужной оболочке глаз. Вместе с тем, специалисты сходятся во мнении, что будущее принадлежит динамическим методам идентификации: по рукописному или клавиатурному почерку, по голосу, а также пока еще не нашедшим широкого применения высокоэффективным статическим методам, в частности, по термограмме лица.

Во-вторых, существующие традиционные системы биометрической идентификации (по отпечаткам пальцев, по форме лица и по радужной оболочке глаз) нельзя отнести к высоконадежным средствам идентификации. Так, до 3% человек не могут вообще быть идентифицированы по отпечаткам пальцев (инвалиды, травмированные и т.п.).

В-третьих, современные системы биометрической идентификации пока еще являются достаточно дорогими. Так, например, стоимость комплекта аппаратуры для сканирования отпечатков пальцев составляет до 600 долларов, а по радужной оболочке глаз—до 16000 долларов. Это не всегда соответствует финансовым возможностям малых и даже средних компаний.

Кроме того, современные системы биометрической идентификации являются потенциально высоко уязвимыми. Микросхемы и другие средства хранения биометрической информации достаточно просто вывести из строя или просканировать.

Во многих современных организациях, не связанных с банковской деятельностью, пока еще не достаточно полно осознаются все последствия пренебрежения вопросами защиты информации. Соответственно, нет понимания необходимости выделения средств на решение вопросов защиты информации, вообще, и биометрической идентификации, в частности.

CNews: Комплексный подход к построению информационных систем, в том числе систем ИБ, требует значительных финансовых вложений. На ваш взгляд, какая доля отечественных предприятий и организаций имеет на сегодняшний день комплексные системы защиты?

Андрей Калашников: Как мне кажется, в данном вопросе смешаны два различных понятия: комплексная система защиты и дорогостоящая система защиты. Эти понятия отнюдь не являются синонимами. Компания может быть большой или маленькой, также как и ее информационная система и, следовательно, большой или маленькой может быть система ИБ. И при этом абсолютно неважно, сколько эта система защиты будет стоить. Построение комплексной системы защиты должно являться логическим завершением комплексного подхода к управлению информационной безопасностью компании. К сожалению, пока таких компаний относительно немного. Результаты исследования, проведенного компанией «Ernst&Young» в 2002 году, показали, что в тот период только около 7% организаций можно было отнести к исповедующим комплексный подход к управлению информационной безопасностью. Близкие данные были получены в том же 2002 году Gartner Group. Полагаю, что в настоящее время число таких компаний в России хотя и возросло, но составляет не более 10 — 15% от общего числа. Так что компаниям, занимающимся информационной безопасностью еще долго не придется скучать без работы.

CNews: Какие интересные проекты ИБ были реализованы IBS в последнее время?

Андрей Калашников: Не секрет, что клиенты не часто дают свое согласие на открытую публикацию даже наименований работ по информационной безопасности, которые они заказывают. Редко удается найти двух заказчиков, имеющих сходные проблемы, задачи, видение со стороны менеджеров. Организация информационных систем, в большинстве случаев, имеет свою специфику. Различаются и объемы финансирования. Соответственно, предлагаемые нами решения задач заказчика, в каждом конкретном случае являются, по-своему, уникальными и интересными.

Не указывая клиента, можно, выделить один из последних проектов по аудиту состояния защищенности ИТ-инфраструктуры для крупного газотранспортного предприятия. Проект бы интересен тем, что позволил заказчику получить полное и детальное описание ИТ-инфраструктуры по всем без исключения объектам предприятия, включая сегменты АСУТП, а также описание всех процессов по обеспечению ИБ, включая недокументированные. Также заказчику была предоставлена аналитика на достаточно глубоком уровне (вплоть до подробного анализа конфигураций), в которой были определены уязвимые места и проблемные области в информационных системах, описаны последствия для деятельности предприятия от реализации угроз. И, в заключении, заказчику были предложены рекомендации по повышению уровня ИБ на предприятии и разработан план реализации таких рекомендаций.

CNews: Какие задачи развития ставит перед собой Центр технологий безопасности IBS на ближайшие годы? Какие направления представляются вам наиболее перспективными?

Андрей Калашников: В первую очередь, акцент делается на развитии консалтинговых услуг. IBS обладает богатым и успешным опытом оказания консалтинговых услуг, и в рамках Центра технологий безопасности планируется дальнейшее развитие услуг ИБ с использованием опыта всей компании. Наши заказчики все чаще и чаще требует от нашей компании выполнения интеграционных проектов по различным направлениям с учетом требований по защите информации. В связи с этим немаловажным направлением развития Центра технологий безопасности IBS будет являться создание с другими подразделениями IBS совместных продуктов. Для заказчика наличие таких продуктов будет означать решение сразу нескольких задач: автоматизацию какого-либо бизнес-процесса, построения ИТ-инфраструктуры и обеспечение защиты информации. Согласитесь, в случае, когда аспекты ИБ рассматриваются на самой ранней стадии построения информационной системы, эффективность механизмов ИБ и возможность их гармоничной интеграции в средства автоматизации становится намного выше и, что немаловажно, дешевле. Уже сейчас находятся в стадии формирования решения по созданию порталов в защищенном исполнении, корпоративных систем управления, информационно-аналитических систем.

CNews: Какие тенденции будут определять развитие рынка ИБ России в ближайшие год-два?

Андрей Калашников: В ближайшие годы будет наблюдаться устойчивый рост рынка ИБ, опережающий рост рынка ИТ, а прогнозируемый объем рынка информационной безопасности к 2007 году достигнет 2,5— 3,5 %рынка ИТ.

Ожидается рост требований по информационной безопасности к предлагаемым решениям со стороны заказчиков, как со стороны органов государственной власти, так и со стороны коммерческих компаний. В связи с этим ожидается расширение рынка аудита и консалтинга ИБ, который составит 15 — 17 % всего рынка ИБ. Также появится и будет расширяться спрос на комплексные проекты создания систем ИБ стоимостью до 10 — 20 млн. долларов, включая поставки программно-аппаратных средств. Будет наблюдаться рост спроса на комплексные решения ИБ от одного производителя, в том числе, интегрированные с системами управления ИС, а так же рост спроса на защищенные ИС и ИАС (включая информационные порталы, ситуационные центры и т.д.). Предпочтение будет отдаваться аппаратным решениям защиты информации, обеспечивающим многофункциональную защиту (IDS, FW, VPN, Antivirus, AAA и т.д.).

Шаги, предпринимаемые Росстандартом по развитию группы стандартов ИСО/МЭК 15408, в том числе, в части взаимного международного признания сертификатов, приведет к дальнейшему расширению присутствия систем ИБ зарубежного производства (в основном сложных и многофункциональных). В то же время, подавляющее большинство клиентов будет ориентироваться на сертифицированную российскую криптографию, продолжится рост спроса на сертифицированные решения в области PKI.

CNews: Спасибо.