Rambler's Top100
Статьи ИКС № 11 2012
Лилия ПАВЛОВА  13 ноября 2012

«ИнфоБЕЗсекьюрити»-2012

Такое шутливое название закрепилось в среде инфобезопасников за дуплетом выставок-конференций InfoSecurity Russia и Infobez-Expo. Пожалуй, разнесение по разным площадкам с разницей во времени в считаные дни некогда единого мероприятия только подчеркивает цельность самой среды – тот же рынок, те же тренды и темы, те же люди.

Найди пять отличий

Никуда не денешься: все, кроме разве что организаторов, воспринимают этот осенний марафон безопасности как некое растянутое на неделю, но по сути одно и то же действо. Хотя отличия, конечно, есть – например, в количестве участников и площадях экспозиции. Так, по данным организаторов InfoSecurity Russia («Гротек»), в этом году в мероприятии приняли участие 214 компаний (в прошлом – 129), а организаторы Infobez-Expo («Рестэк») сообщили о 90 участниках (в прошлом году было 70). Экспозиция второй выставки заметно скромнее, зато в деловой программе есть крупные эмоциональные «изюмины» – вот уже третий год собирающие аншлаги брейн-ринги CISO vs CIO и конкурсы новинок в области ИБ «Львы и Гладиаторы».

У InfoSecurity свои «бантики» – праздник Oktober-fest с национальными баварскими песнями и танцами под аккомпанемент «живого» оркестра, с угощением немецким пивом традиционных сортов, конкурсы с приятными призами вроде новеньких iPad. Что, конечно, не отменяет плотности выступлений на конференциях, круглых столах, семинарах и презентациях. Ну а Infobez в этом году выдал новую порцию креатива.

«Лаборатория мобильной безопасности» тестируетКреативная лаборатория

Михаил Емельянников (консалтинговое агентство «Емельянников, Попова и партнеры») организовал дискуссию в необычном формате «блогер-панели». Пятерка авторов популярных в профессиональной среде блогов озвучили свои посты по тем вопросам защиты персональных данных, актуальность которых обозначилась через год после принятия новой редакции 152-ФЗ. Евгений Царев – о роли и последствиях «галочки», поставленной в соответствующей веб-форме для выражения согласия на обработку данных; Алексей Лукацкий – о целесообразности применения сертифицированных средств защиты в ИСПДн; Александр Бондаренко – о зыбкости подходов к оценке угроз безопасности персональных данных; Алексей Волков – о нестыковках в письменных разъяснениях законодательства разными регуляторами; сам Михаил Емельянников, модерировавший новаторский процесс устного блоготворчества, – о «подводных камнях» аутсорсинга при поручении оператором персональных данных организации их обработки иному лицу. А дальше следовали «комменты». Как и в Интернете, основную смысловую нагрузку комментариев взяли на себя участники того же клуба блогеров. Что, кстати, «читателей» не особо разочаровало: если бы не регламент – не вышли бы из блогосферы, в смысле из конференц-зала.

Еще одна новая придумка деловой программы Infobez'а – «Лаборатория мобильной безопасности». И тоже новый формат: участники «Лаборатории» – КРОК, «Информзащита», Digital Design, НИИ СОКБ – демонстрировали с возможностью тестирования готовые решения класса MDM (Mobile Device Mana-gement, управление мобильными устройствами), предназначенные для защиты и контроля как самих мобильных устройств, так и получаемой, обрабатываемой и передаваемой с их помощью информации. Автором этого мероприятия и его ведущим выступил Дмитрий Устюжанин, руководитель департамента информационной безопасности «ВымпелКома». По его оценке, продемонстрированные решения действительно очень перспективны для внедрения в корпоративной мобильной среде. Так, Центр компетенции по обеспечению информационной безопасности при использовании мобильных средств связи НИИ СОКБ показал, как работают действующие в «Газпроме» системы Trend Micro Mobile Security 8 (build 8.0.1251), Symantec Mobile Security 7.2 (7.2.721), MobileIron VSP 4.5.3 (build 98), SafePhone, BlackBerry Enterprise Server 5.0.3. Решения MobileIron и Best for Enterprise представили «Информзащита» и КРОК. Компания Digital Design продемонстрировала решение почтового клиента для iPad, разработанное совместно с «Аладдин Р.Д.» и «Крипто-Про» с использованием отечественных средств криптографической защиты информации.

Здесь уместно заметить, что решения, реализующие российскую криптографию на устройствах iPad и iPhone, стали «примами» обоих форумов. Так, на конференции Mobility & Mobile Security, проходившей в рамках InfoSecurity Russia, генеральный директор компании «Аладдин Р.Д.» Сергей Груздев анонсировал решение Secure MicroSD, которое при помощи смарт-карт и нового ридера для устройств iPad и iPhone позволит их владельцам использовать усиленную квалифицированную электронную подпись в системах электронного документооборота, интернет-банкинга, при получении государственных и муниципальных услуг в электронной форме и пр. Для презентации ему не хватило времени, отведенного регламентом, – и две трети зала бросились за ним «в кулуары», чтобы разобраться в деталях.

Безопасность mecum porto

Разумеется, никуда не делись регуляторные вопросы, задачи защиты периметра ЦОДов, противодействия мошенничеству и борьбы с DDoS-атаками, проблемы безопасности в облачных средах и страхования рисков ИБ… Но тема корпоративной мобильной ИБ в этом году прозвучала на обеих площадках, InfoSecurity Russia и Infobez-Expo, особенно веско.

Корпоративная мобильность становится новым драйвером индустрии информационной безопасности. Об этом говорят аналитики IDC, прогнозирующие рост объема мирового рынка мобильной безопасности до $2,5 млрд к 2016 г. (против $628 млн в 2011-м). Об этом косвенно свидетельствует интересная статистика отечественного рынка: по данным той же IDC, в 2011 г. в России объем сегмента услуг ИБ составил $443 млн (что выше показателя за 2010 г. на 43%); рынка программного обеспечения для ИБ – $306 млн (прирост 27,7%), а рынка аппаратных решений безопасности – $205 млн (рост 73%). Кто-то помнит, чтоб «считали» аппаратный рынок ИБ? Впервые в этом году помимо основного отчета на английском языке IDC выпустила версию исследования на русском. Среди основных факторов высокой динамики этого рынка аналитики называют стремление компаний защитить каналы связи при все более обширном распространении мобильных технологий, а к функциональному мобильному сегменту относят решения для аутентификации – токены и смарт-карты.

Если «Лаборатория мобильной безопасности» сфокусировалась на практической стороне вопроса, то на конференции Mobility & Mobile Security основное внимание было уделено концептуальным и стратегическим подходам к информационной безопасности в корпоративной мобилизации. По словам Михаила Чернышева (McAfee), стратегия в этой сфере выстраивается в трех плоскостях: защита мобильных устройств (MDM, защита от вредоносного кода, Web-защита), защита мобильных данных («найти, заблокировать, очистить, удалить»; обнаружение взломанных устройств; шифрование), защита мобильных приложений (корпоративные магазины приложений, решения для каталогов приложений). Александр Бондаренко (LETA) выделяет пять основных механизмов защиты: контроль доступа, антивирусная защита, криптозащита, защищенный доступ, предотвращение утечек информации (DLP). Кирилл Викторов («Инфосистемы Джет») предлагает три составляющие корпоративной мобильной безопасности: MDM, обеспечение безопасности виртуальных рабочих мест с помощью технологии VDI, противодействие утечкам через мобильные устройства. Александр Атаманов (ТСС) называет три основных требования к средствам защиты: использовать только сертифицированные по высоким классам модули, использовать в ядре СЗИ решения не более двух производителей (либо интегрируемые по открытым протоколам), разделять обеспечение базового уровня и защиту от актуальных угроз.

BYOD для «инфобезопасников» – неприятная объективная реальность. По прогнозам Gartner, к 2014 г. 90% компаний будут поддерживать корпоративные приложения на устройствах, принадлежащих сотрудникам. Как заметил Сергей Рябко («С-Терра»), «индустрия ИБ приняла некомпенсированные риски, привносимые пользователями гаджетов, – и придумала BYOD, очень полезную и удобную штуку там, где безопасность почти не нужна». Если же требуемый уровень безопасности «выше ДСП», то, по его мнению, компании должны выдавать сотрудникам корпоративные гаджеты и следовать определенным правилам: строго ограниченный набор классов одинаковых гаджетов, ограничение приложений для корпоративного гаджета, усиление аутентификации, использование шифрования, защита канала связи, работа с российскими производителями средств защиты, применение сертифицированных продуктов, использование корпоративной MDM-платформы.

Надо заметить, что при всей популярности темы MDM на деле эти решения не очень-то активно внедряются. По крайней мере, в России: по данным «Инфосистемы Джет», меньше 8% заказчиков этого крупнейшего системного интегратора доходят до «пилотов», не говоря уж о заказе (хотя собственно молодой еще рынок MDM-решений кипит и бурлит: если в 2011 г. Gartner выделяла 60 его игроков, то в 2012-м за счет M&A и вытеснения конкурентов – всего 20). Пессимисты сказали бы: пока гром не грянет… Оптимисты – значит, все только начинается.

  

 

«Инфобезсекьюрити-2012» вызвала немало критики в блогах экспертов и на профессиональных онлайн-площадках. Уже прогнозируются сроки финиша этого марафона и обсуждаются новые форматы «идеальной конференции» для инфобезопасников. Да верится с трудом: все же консервативная среда ИБ научилась принимать некомпенсированные риски неприятной объективной реальности и даже получать от этого определенную пользу.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!