Егор Кожемяка:

Современные подходы к построению систем ИБ на основе процессного подхода остаются пока не реализованными

На вопросы CNews ответил Егор Кожемяка, директор Центра защиты информации компании «Конфидент».

CNews: Какие изменения вы отмечаете за последнее время на рынке ИБ - в мире и в России?

Егор Кожемяка: В целом, я бы охарактеризовал 2011 год как период «стабильного развития». Рынок растет без глобальных всплесков и сверхновых трендов. По-прежнему мировые и российские векторы развития рынка несколько разнонаправлены – мир «витает в облаках», в России пока больше говорят об этом. Структура долей секторов «Услуги»-«ПО»-«Оборудование» для России и мира также различна, но в России доля услуг постепенно растет.

Самой актуальной темой у нас в стране по-прежнему является приведение информационных систем в соответствие 152-ФЗ. При этом, за последние несколько лет доля проектов по защите ИСПДн выросла кардинально и занимает, очевидно, лидирующие позиции. Международные стандарты, анализ рисков для России сейчас вторичны, если только не требуются в определенных отраслях, например, PCI DSS для платежных систем.

Зато многие иностранные производители не только осознали необходимость сертификации продукции по требованиям безопасности в России, но активно стали проходить данную процедуру соответствия.

CNews: Какие факторы стимулируют рост различных сегментов рынка ИБ - по вашим наблюдениям?

Егор Кожемяка: В России это, безусловно, требования законодательства и деятельность регуляторов. В мире в целом – стремление максимизировать доходы от деятельности организаций путем повышения устойчивости и защищенности систем через управление информационными рисками, а также желание повысить прозрачность работы организаций и при этом не допустить утечек коммерческой информации и конфиденциальных данных.

CNews: Какие изменения на российском рынке ИБ вы отмечаете в свете вступления в силу 152-ФЗ?

Егор Кожемяка: По нашим наблюдениям, на стороне заказчика особых изменений после 1 июля 2011 г. не произошло. Все, кто приводил в соответствие свои ИСПДн, продолжили эту планомерную работу. Те, кто подходил к решению этого вопроса другими методами – пользовался юридическими лазейками или просто занимал выжидательную позицию – сохранили и даже утвердили свои подходы.

На стороне исполнителя конкуренция возросла. Появилось большое количество компаний, которые предлагают свои услуги в области ИБ. Но при этом далеко не все из них обладают соответствующим опытом, квалифицированным персоналом, а иногда даже необходимыми лицензиями.

Со стороны вендоров - как отечественных, так и иностранных - четко прослеживается тенденция сертификации своих продуктов в системах обязательной сертификации ФСТЭК и ФСБ России. Это не может не радовать, так как расширяется число вариантов выбора решений для проектирования и внедрения систем защиты.

CNews: Насколько вообще этот закон повлиял на структуру проектов ИБ в России - по вашим наблюдениям?

Егор Кожемяка: Структура самих проектов несколько изменилась. Более весомой стала организационная составляющая. В составе проекта мы разрабатываем большой пакет организационно-распорядительных документов, что обусловлено требованиями регуляторов. В целом, проекты стали более комплексными, лучше учитывающими реальные условия эксплуатации.

CNews: Какие угрозы ИБ видятся сегодня наиболее серьезными для бизнеса и госсектора?

Егор Кожемяка:  Для бизнеса, по-прежнему, наиболее серьезными являются угрозы, исходящие от инсайдеров и случайных утечек. Эти угрозы связаны с накоплением электронных ресурсов в офисах коммерческих структур и ростом рисков их похищения. Размытие периметра защиты и рост числа мобильных устройств – смартфонов и планшетов – также никто не отменял. К сожалению, риски, связанные с накоплением электронных ресурсов и повышением мобильности доступа к ним, осознаются труднее, чем преимущества.

Для госсектора важным трендом является переход на предоставление электронных госуслуг и межведомственное электронное взаимодействие через СМЭВ в связи с выходом законов «Об обеспечении доступа к информации  государственных органов и органов местного самоуправления» (№ 8-ФЗ от 09.02.2009)  и «Об организации предоставления государственных и муниципальных услуг» (№ 210-ФЗ от 27.07.2010). Это влечет за собой реорганизацию информационной модели и существенную модернизацию инфраструктуры, что нужно учитывать при построении системы защиты. Помимо внешних угроз web-ресурсам для оказания услуг, могут появиться новые угрозы и виды мошенничества, с которыми мы еще не сталкивались.

CNews: Как меняются сами подходы к обеспечению ИБ в организациях - по вашим наблюдениям? Что можно считать ключевой тенденцией 2011 г.?

Егор Кожемяка: В 2011 году, благодаря 152-ФЗ, вопросы ИБ были в центре внимания руководителей организаций. Это привело к улучшению финансирования проектов по ИБ и подключению административного ресурса для решения вопросов ИБ. Это положительно повлияло на общее состояние ИБ в организациях.

Интересной тенденцией прошедших 2 лет я бы назвал рост числа ведомственных стандартов. Это серия стандартов по ИБ Банка России СТО БР ИБСС, стандарты Национальной ассоциации пенсионных фондов СТО НАПФ, стандарты Национальной ассоциации участников фондового рынка НАУФОР и другие ведомственные разработки. В целом это улучшает качество проектов, поскольку позволяет лучше учитывать особенности защищаемых объектов. Однако следует заметить, что в отличие от того же законодательства по защите персональных данных, ведомственные стандарты могут только дополнять, но не заменять базовые требования ФЗ. Кроме того, большинство ведомственных стандартов остаются на уровне базового подхода к обеспечению ИБ, который рассматривает систему ИБ как совокупность организационно-технических мероприятий. Современные подходы к построению систем ИБ на основе процессного подхода остаются пока не реализованными.

1 | 2 |

Егор Кожемяка

все фотогалереи

CNews: Как развивается ваш бизнес по направлению ИБ? На каких решениях и услугах вы в первую очередь сфокусированы?

Егор Кожемяка: В сфере ИБ компания «Конфидент» развивается по двум ключевым направлениям.  В первую очередь, это интеграция в сфере защиты информации. Комплексные проекты особенно интересны, т.к. позволяют быть ближе к заказчику, понимать и реализовывать его потребности на всех этапах – консалтинга, проектирования, внедрения и сопровождения системы защиты.

Второе, относительно независимое направление – это роль вендора и продвижение линейки собственных сертифицированных разработок по защите информации от несанкционированного доступа Dallas Lock. Сюда можно отнести технологическое развитие решений и выпуск новых версий, маркетинговое и техническое сопровождение, а также развитие партнерской сети, которая насчитывает более 200 активных участников.

Отмечу, что оба направления стабильно развиваются на протяжении нескольких лет.

CNews: Какие из своих проектов ИБ вы могли бы выделить особо - за последнее время?

Егор Кожемяка: В первую очередь я бы отметил комплексные проекты по построению системы защиты информации для ИСПДн, реализованные компанией «Конфидент» для распределенных сетевых энергетических компаний в центральной части России, западной Сибири и на северо-западе России.

Было также реализовано много совместных проектов с нашими партнерами, ведущими российскими интеграторами, по созданию подсистем управления доступом, регистрации и учета на основе решения Dallas Lock, в частности, в госсекторе и кредитно-финансовой сфере.

CNews: Каковы ваши прогнозы относительно дальнейшего развития рынка ИБ в России? Как в этой связи строится ваша стратегия?

Егор Кожемяка: Если не затрагивать малопрогнозируемые  факторы, влияющие на любой рынок,  в частности тему мировых кризисов, я бы сказал, что рынок ИБ будет расти и дальше, бюджеты на ИБ, по крайней мере их доля, будут увеличиваться.

Уже сейчас видна тенденция к внедрению виртуализации в рамках отдельных холдингов и ведомств, и, как следствие, укрупнения ЦОДов, что ведет к перестроению инфраструктуры и необходимости реорганизации систем защиты, особенно для информации, защищаемой в соответствие с законодательством РФ.

Для бизнеса будут интересны комплексные, универсальные проекты. Сейчас в какой-то мере разделена формальная сторона приведения систем в соответствие с требованиями законодательства и «реальная защищенность» коммерческой тайны. По тому же пути комплексной функциональности будут развиваться и соответствующие сертифицированные продукты.

Для госсектора усилия будут сконцентрированы на выработке подходов к защите электронных госуслуг и межведомственного электронного взаимодействия. Локальные проекты по защите ИСПДн для органов государственной власти будут также актуальны.

Стратегия Центра защиты информации компании «Конфидент» будет строиться над развитием двух ключевых направлений деятельности, о которых сказано выше. Помимо выпуска новых версий СЗИ НСД Dallas Lock, мы планируем разработку и сертификацию новых продуктов, вывод их на рынок в 2012-2013 годах. Основные усилия в рамках комплексных проектов по ИБ планируем направить на работу с госзаказчиками и крупными холдингами.

CNews: Спасибо.