• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

ИБумажка как главный тренд рынка ИБ

Любителей чужих секретов со временем меньше не становится, так что угроз информационной безопасности с каждым годом все больше, а сами они – все сложнее. Меняются и приоритеты борьбы с ними: в России теперь на первое место выходят проблемы, имеющие весьма косвенное отношение к реальной защите данных.

Спрос на средства информационной безопасности (ИБ) и на разработку новых технологий в этой сфере провоцируется всем ходом развития ИТ в мире, стремлением компаний повысить эффективность работы с помощью новых технологий (collaboration, tele-presence, виртуализация, консолидация, облачные вычисления) и приверженностью самих корпоративных пользователей к удаленной работе с использованием мобильных компьютеров и смартфонов – такие устройства, как iPhone и iPad, стали уже почти обязательными атрибутами нынешних топ- и не очень «топ» менеджеров. Кроме того, с наступлением кризиса компании стали поощрять сотрудников использовать социальные сети для поиска партнеров и заказчиков. Все это заметно увеличивает количество потенциальных уязвимостей корпоративных сетей и «дыр» для утечки данных. В итоге, как отметил на конференции IDC IT Security Roadshow 2011 директор по консалтингу IDC Russia/CIS Тимур Фарукшин, разрыв между угрозами и возможностями корпоративных отделов ИБ обеспечить эту самую информационную безопасность постоянно увеличивается: проблемы усложняются и их становится больше, квалификация специалистов по ИБ имеет естественные пределы, а адекватного роста инвестиций в ИБ в нынешних условиях ожидать не приходится. Кроме того, руководители отделов ИБ вынуждены теперь заниматься не только техническими проблемами, но и решать в общем-то несвойственные им задачи приведения корпоративных систем безопасности в соответствие законодательству.

Учет требований российских регуляторов стал сегодня главной проблемой для специалистов отделов ИБ, для производителей и поставщиков средств информационной защиты. Конечно, регулирование продуктов ИБ практикуется, наверное, во всех странах мира, но, как рассказал Алексей Лукацкий (Cisco Systems в России и СНГ), такого количества регуляторов в этой области нет нигде: семь прописанных в законодательстве плюс три отраслевых, а скоро появится еще два. И все они выпускают свои нормативные акты, большинство из которых обязательны для исполнения.

Вечная «особость» России проявляется и в системе сертификации средств защиты данных. Этим у нас занимаются ФСБ, ФСТЭК, Минобороны и СВР. Без бумаги ФСТЭК и ФСБ нельзя использовать ни маршрутизаторы, ни коммутаторы, ни межсетевые экраны, ни тем более продукты для VPN-сетей. И ситуация со временем только ухудшается, количество нормативных актов, требующих обязательной сертификации средств защиты, растет и растет: если в 2010 г. было принято три таких акта, то в 2011 г. планируется принять уже 11 штук.

В общем, граница на замке, мышь не прошмыгнет. Возможно, ревнители подобной «конфигурации» считают, что таким образом они защищают национальные интересы страны и персональные данные граждан и поддерживают того редкого отечественного производителя, который все еще выпускает средства информационной защиты. Однако реальным следствием такой заботы стало лишь то, что очень многие лидирующие в мире по своим техническим характеристикам продукты ИБ в целом ряде отраслей российской экономики использовать нельзя. И происходит это исключительно из-за отсутствия сертификации, поскольку далеко не все иностранные производители готовы ради выхода на российский рынок к затяжной и дорогостоящей бумажной войне с нашей бюрократией. Но зато вендоры, прошедшие этот крестный путь, в первых же строчках своих проспектов гордо пишут что-то типа «самые лучшие технологии, соответствующие требованиям российского законодательства». Такой у нас теперь основной критерий выбора для заказчиков.

Последних тоже остается только пожалеть. С одной стороны, защищать данные им надо, но делать это по-настоящему – с определением политик безопасности в организации, классификацией данных, описанием правил их использования и их последующим строгим выполнением – на практике готовы немногие. Хлопотно это, а произойдет ли какой-нибудь инцидент, еще неизвестно. Зато со 100%-ной вероятностью рано или поздно нагрянет регулятор, и интересовать его будет отнюдь не реальная защита данных, а наличие официальной бумаги о ее существовании. В общем, заказчик никуда не денется, и внедрять средства ИБ он будет (вместе с бумагами, конечно), так что вендоры и системные интеграторы голодными не останутся.

Сейчас из всех искусств для нас важнейшим является сертификация. И она же является главным двигателем российского рынка ИБ.