Rambler's Top100
Реклама
 
Статьи ИКС № 11 2008
Михаил ЕМЕЛЬЯННИКОВ  Галина БОЛЬШОВА  11 ноября 2008

Информационная безопасность в отражении Infosecurity Russia… …и в прогнозах эксперта

Как и в предыдущие годы, на главной выставке для специалистов в области информационной безопасности, которая прошла в октябре в Москве, аншлаг: зарегистрировано свыше 1700 посетителей.

Первое впечатление: выставка стала меньше? Нет – компактнее, притом что экспонентов прибавилось. Стенды солиднее, практически на каждом проводились семинары и презентации. По мнению тех, кто бывал на основной площадке Infosecurity в Лондоне, «московская версия» все больше становится похожа на «первоисточник» – как внешне, так и по составу участников (Aladdin, Agilent Technologies, FSecure, Juniper, Kerio, Microsoft, Sun Microsystems, Trend Micro, «АМТ-Груп», «Информзащита», КРОК… – всего около 150 российских и зарубежных игроков).

Представители компаний на стендах не могли пожаловаться на недостаток внимания посетителей, и все же наиболее популярными площадками стали конференц-залы, где порой не хватало сидячих мест (как, например, на круглых столах по проактивным технологиям безопасности, по контролю персонала без нарушения закона или на секциях, где обсуждались нормы и стандарты). Пожалуй, впервые это были не формальные круглые столы – «отчитали презентации, время закончилось, все разошлись», а реальные дискуссии. Пусть даже вопросов оказалось гораздо больше, чем ответов на них, которые, к слову, зачастую были интереснее выступлений.

Вместе с тем правовые нормы в области ИБ даже официальные регуляторы считают неполными. Так, по мнению А. Ковалева (ФСБ России), в новом «трехглавом» законе отсутствует понятие «конфиденциальная информация», слишком долго разрабатывается закон о служебной тайне. Отсутствие ряда важных определений и требований – вот причина того, что многие законы в области информационной безопасности не работают. Однако представитель регулятора, как это ни странно, считает бесполезными для информационной безопасности технические регламенты и нисколько не жалеет об их отсутствии.

Технические стандарты, реальные движители ИТ- и ИБ-индустрии, призваны обеспечить совместимость систем и сетей. Как без таких регламентов можно создать новый тип информационной системы – федеральную кроссведомственную информационную систему, которую пытаются построить по крайней мере уже пару-тройку лет?! Думается, что сложности межведомственного взаимодействия как один из тормозов проекта объясняются, по большому счету, именно техническими регламентами, точнее, их отсутствием.

Особенно бурно обсуждались нормы и требования по обработке персональных данных (ПД). Регуляторы (ФСБ и Минкомсвязи), признавая некоторые недоработки в части требований ФСТЭК и ФСБ, касающихся ФЗ «О персональных данных», заверили, что в ближайшее время появятся общедоступные документы, позволяющие любому оператору персональных данных однозначно интерпретировать свои обязанности перед законом. (Заметим, что первая версия требований ФСТЭК доступна лишь по специальному запросу операторов персональных данных, коих в стране насчитывается более 7 млн.)

Несколько утешило выступление А. Мельникова (Россвязькомнадзор) по защите прав субъектов персональных данных (т.е. нас с вами). Он сообщил, что начал создаваться реестр операторов персональных данных (сегодня в нем более 19 тыс. организаций). Проверки же соблюдения федерального закона осуществляются лишь по жалобам, которых с начала 2008 г. поступило всего 26 (две из них переданы в суд), причем все не от организаций, а от граждан. Юридическое последствие несоответствия федеральному закону – возбуждение уголовного дела. Однако, как известно, в Госдуме зреет закон, по которому физическому лицу будет запрещено обжаловать действия оператора персональных данных. Поэтому, как говорят участники дискуссии, проверок Россвязькомнадзора в ближайшее время (а возможно, и в будущем) можно не опасаться.

К сожалению, о стандарте ИБ для операторов наш регулятор (Минкомсвязи) даже не задумывается, считая, видимо, вполне достаточными требования базового уровня. Неудивительно, что и бизнес в первую очередь выбирает продукт по критерию «функционал», считая сертификат фактором вторичным. В то же время очень жестко обеспечение норм закона соблюдается в банковских (по сути, коммерческих) структурах – порой даже более строго, чем в госструктурах. В этой отрасли безопасность действительно является приоритетом, чему в немалой степени способствует Центробанк России, который намерен сделать последнюю версию стандарта обязательной. Собственный стандарт по информационной безопасности разрабатывается и в газодобывающей отрасли.



М.Ю. Емельянников, председатель программного комитета конференцииПочувствовать пульс рынка можно на профессиональных мероприятиях. Какой он, по мнению эксперта в сегменте информационной безопасности, «ИКС» решил выяснить у М.Ю. ЕМЕЛЬЯННИКОВА, заместителя коммерческого директора НИП «Информзащита» и председателя программного комитета конференции.

– Михаил Юрьевич, каково состояние российского рынка ИБ?

– Наш рынок сочетает в себе несколько факторов: по-прежнему сохраняется отставание в области высоких технологий (нет своих процессоров для СВТ, своих ОС, своих мощных приложений и т.д.). При этом существуют жесткие требования регуляторов рынка и необходимость защиты от реальных угроз в сфере ИТ, которые не знают границ и не зависят от технологического уровня государства.

Госрегулирование и стало лейтмотивом конференции. Оно так или иначе затрагивалось при обсуждении практически всех тем круглых столов. Причины понятны: госрегулирование в области ИБ усиливается, а 2008 г. стал рекордным по количеству принятых документов для негосударственных структур. Совершенствуется нормативная база в связи с принятием ФЗ «О персональных данных», на подходе ФЗ о служебной тайне.

Ясно, что изменения будут происходить и дальше, и специалисты пребывают в растерянности, тем более что расширяется и негосударственное регулирование. Активность Совета по индустрии платежных карт (стандарт PCI DSS), Центробанка, который завершает создание группы стандартов по ИБ (теперь их 5), случаи несоответствия продекларированному соглашению Basel II (банк «Сосьете Женераль») – все это говорит о том, что соответствие требованиям регуляторов при выборе ИБ-решения выходит на первый план. Это подтверждается и результатами глобальных исследований рынка ИБ, проведенными в 2008 г. компаниями «большой четверки» аудиторов Pricewaterhousecoopers и Ernst & Young.

Игроки рынка и потребители российского рынка балансируют между зарубежными решениями, обеспечивающими технологические соответствия мировым требованиям к ИБ, требованиями государственных регуляторов и задачами бизнеса, который нуждается не в ИБ вообще, а в безопасности бизнес-процессов, поддерживаемых ИТ-инфраструктурой или использующих Интернет.

– Ваш прогноз российского рынка ИБ?

– Он будет развиваться достаточно быстро. IDC оценивает рост российского рынка ИБ на ближайшую пятилетку в 40–42% в год, считая его недооцененным. Двигателем рынка станет усиление требований в части использования лицензионного ПО, в том числе и по ИБ. Кроме того, сегодня явно недооценен рынок SMB: решений для него мало и спрос на них невысок. Но усиление госрегулирования, с одной стороны, и влияние ИТ-инфраструктуры на развитие бизнеса, с другой, приведут к тому, что компании SMB неизбежно начнут применять ИБ-решения.

Простейший пример: интернет-магазин, атакуемый DDoS трое суток, перестает существовать как бизнес-единица. Сектор SMB – это интернет-провайдер для вашего подъезда, это магазин, торгующий гаджетами… Если они не будут использовать средства ИБ, их бизнес недолго продержится на плаву.

Рынок ПО безопасности в России, по данным IDC, сейчас составляет около $156 млн, а в США $2 млрд приходится только на рынок программных решений по повышению осведомленности пользователей в области ИБ. Это ли не резерв роста? Но динамика нашего рынка изменится. Уже никому не нужны межсетевые экраны, IDS- и IPS-решения или системы корреляции событий сами по себе. Востребованы решения, вложенные в электронный бизнес или в бизнес-процесс, наложенный на ИТ-инфраструктуру. Тот, кто уловит эту тенденцию, освоит методологию встраивания ИБ-решений в бизнес-процессы, получит преимущество.

– Что станет с операторами персональных данных после января 2010 г., когда все должны будут подтвердить защищенность обрабатываемых ими данных?

– Одних начнут проверять, других – наказывать. Принимать меры в области защиты персональных данных придется.

После презентации на стенде ко мне подошел юноша, администратор сети в провинциальной гимназии. Спрашивает, надо ли им защищать персональные данные родителей, детей, учителей? Отвечаю: да, надо. Он почесал в затылке и, понурив голову, сказал: «Придется руководство пугать».

Вместе с тем, я считаю, главные требования будут распространяться на enterprise-сектор и крупнейшие госорганизации типа Пенсионного фонда, Фонда обязательного медицинского страхования и т.п. Сектор SMB в ближайшее время это не затронет: нет ни сил, ни средств, ни методологии.

– Не ждет ли нас, как всегда, профанация защиты, теперь – персональных данных?

– Теоретически оператор ПД – это зубоврачебный кабинет, детский сад, школа, ЖЭК. Есть операторы (телеком, банки, страховые компании, ГАИ, ЗАГСы и т.п.), чьи утечки являются социально и экономически значимыми. В то же время для некоторых организаций инциденты с ПД, конечно, опасны, но социальных последствий за собой не влекут, например утечка данных об учениках из журнала успеваемости. Профанация? Думаю, практика правоприменения приведет наши госорганы к мысли, что бесполезно пытаться распространить все требования закона в равной степени на 7 млн юридических лиц.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!