Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Олег Самарин: Стандарт ISO/IEC 27001 — это основа для построения отношений доверия между компаниями.

На вопросы CNews отвечает Олег Самарин, руководитель направления информационной безопасности, АМТ Груп

CNews: Какие изменения наметились, по вашим наблюдениям, в потреблении продуктов и услуг ИБ российскими компаниями в 2005 г.?

Олег Самарин: Можно сказать, что за прошедший год заметно возросло потребление высокотехнологичных продуктов, связанных с управлением. Заказчик все больше нуждается в системных решениях. Рынок для этого созрел, и клиенты все больше средств вкладывают в комплексные решения. Например, существенно вырос спрос на системы сбора, анализа, корреляции событий. Если год назад интерес к этим разработкам был чисто теоретический, то теперь заказчики все чаще и чаще внедряют такие продукты.

CNews: Довольно часто компании, обладая серьезным арсеналом защиты, уделяют мало внимания управлению безопасностью, что значительно снижает эффективность использования средств ИБ. Насколько часто вам приходится сталкиваться с такой ситуацией и с чем она связана?

Олег Самарин: Это связано с тем, что изменения в этой области происходят достаточно быстро. Правда, не в таких масштабах, как хотелось бы и как это происходит на Западе. К сожалению, в большинстве своем бизнес у нас в стране был непрозрачен. Нередко механизмы бизнеса непонятны даже самим владельцам. Естественно, они не способны правильно оценить те или иные информационные активы. Не могут оценить они, соответственно, и риски, связанные с потерей того или иного информационного актива. А именно это является фундаментом в построении адекватных систем по управлению информационной безопасностью предприятий. Но мы, интеграторы, стараемся помогать своим заказчикам, выполняя, в своем роде, образовательную миссию. Хотя, безусловно, выбор конкретных решений всегда остается за клиентом.

CNews: Какие вертикальные рынки, на ваш взгляд, отличаются повышенным интересом к ИБ?

Олег Самарин: В первую очередь, это, конечно, финансовые и банковские организации. В этом секторе всегда было трепетное отношение к вопросам ИБ. Выделялись достаточные денежные средства и заказывались комплексные, сложные решения. Далее я бы отметил промышленные предприятия. Наконец пришло понимание, что информационная составляющая важна в этом бизнесе. И все больше и больше крупных предприятий при построении корпоративных информационных систем выделяет средства для обеспеченияе информационной безопасности. Ну и на третьем месте идут провайдеры. Может быть, речь пока не идет о крупных магистральных провайдерах, но о провайдерах, которые находятся ближе к клиенту. Причем мы говорим о провайдерах любого информационного сервиса.

CNews: Насколько актуальна для российского корпоративного сектора защита систем хранения данных?

Олег Самарин: Очень актуальна. Кстати говоря, на предстоящей выставке Infosecurity-2006 мы будем делать максимальный акцент на таких решенияхней. К сожалению, пока этому вопросу уделяется недостаточно внимания. Это связано с тем, что традиционно системы хранения рассматриваются рассматривались как некие сугубо внутренние системы. Часто системы хранения представляются в виде неких дисковых систем, расположенных вблизи серверов, либо даже внутри них. Так было в недавнем прошлом, но на сегодняшний день это не так. С приходом технологии SAN (Storage Area Network) системы хранения данных стали существенно более сложными системами, границы которых часто выходят за физический периметр предприятия. Распределенное хранилище — уже не сосредоточено в одном месте, чтобы обеспечивать достаточный уровень защиты. Поэтому в первую очередь надо перебороть в себе консервативные взгляды на обсуждаемые системы. Конечно, SAN — это наша внутренняя сеть. Но это не значит, что она абсолютно защищена. Есть внутренние угрозы, и есть угрозы, связанные с тем, что SAN часто выходит за периметр предприятия. Поэтому здесь возникают новые условия работы с информационными активами и, естественно, нужно прилагать определенные усилия, чтобы минимизировать риски, связанные с ними. И такие решения на рынке существуют. Я считаю, что сейчас пришло осознание того, что систему хранения данных нужно защищать и уделять ей не меньшее внимание, нежели защите периметра и прочих элементов корпоративных информационных систем.

CNews: Существует ли, по вашему мнению, критерий, по которому можно определить эффективность использования средств ИБ? На каком этапе развития компании следует задуматься об управлении безопасностью?

Олег Самарин: На мой взгляд, критерий всегда один. Есть информационный информационные риски, есть стоимость системы информационной безопасности. Соотношение этих величин и определит, насколько эффективны те или иные системы ИБ. Во-первых, мы должны четко понимать, что угроза во всех случаях в том или ином виде существует, и она не всегда связана с неким злым умыслом. Во-вторых, необходимо оценивать, какой уровень рисков существует сейчас и какие мероприятия можно провести для его снижения. Кроме того, понять, какой уровень будет наиболее приемлемым. Информационная безопасность — это всегда управление рисками и не что иное. Все остальные истории про злых парней — хороши лишь для шпионских книг и голливудских фильмов. Эффективная система ИБ может быть создана только в совокупности с процессом управления рисками.

CNews: Актуальна ли для России сертификация по стандарту ISO/IEC 27001:2005? К чему должна быть готова компания, решившая построить в соответствии с ним свою систему защиты?

Олег Самарин: Это весьма животрепещущая тема сейчас. Тем более, если мы хотим войти в ВТО и присутствовать на мировом рынке уже не просто в виде свободного игрока, а как член цивилизованного общества. Здесь сразу встает вопрос доверия. Вообще говоря, вопрос доверия в информационных системах, на мой взгляд, остается одним из самых сложных в информационной безопасности. Я всегда привожу такой пример. Две стороны хотят между собой построить защищенный канал связи. Даже, если у них будет самая идеальная современная аппаратура, но они не будут соблюдать определенные процедуры по ее использованию, ничего дельного у них в конечном итоге не выйдет. И здесь решающую роль играет именно фактор доверия.

Для этого, собственно говоря, и был создан международный стандарт систем управления информационной безопасностью ISO/IEC 27001:2005. Чему он способствует? Он способствует тому, что мы на регулярном базисе проверяем эффективность функционирования системы управления ИБ. Такая сертификация позволяет установить отношения доверия между компаниями. Причем, если рассматривать международные системы стандартов, то эти отношения распространяются на глобальный рынок. Кстати говоря, отраслевые и национальные (так сказать «доморощенные») стандарты ИБ, в существенной степени стали перекликаться с международными стандартами. Например, последний вариант стандарта Центробанка в большой степени основан на ISO/IEC 27001. То есть, принципы, которые в нем заложены, по большому счету универсальны. Как нельзя изобрести «социалистические законы Ньютона», так же нельзя игнорировать объективно существующие общепризнанные подходы к построению систем ИБ, выраженные в международных стандартах.

В этом смысле, перспективы распространения сертификации по ISO/IEC 27001 на нашем рынке самые радужныеоптимистичные. Все больше и больше компаний хочет сотрудничать со своими коллегами на Западе. Там требования сейчас достаточно четко выстраиваются — компания —партнер, должна быть сертифицирована по ISO/IEC 27001. Я считаю, что на российском рынке скоро будет отмечен лавинообразный рост сертификаций по международным стандартамкак по ISO/IEC 27001, так и по ISO/IEC 20000. Пока что сертифицированы единицы. Говоря о причинах, почему сертификация все же необходима, можно выделить два основных фактора. С одной стороны, есть движитель, связанный с вовлечением российских компаний в глобальный рынок. А другой движитель — внутренний: когда владельцу активов хочется быть уверенным, что у него в компании система управления ИБ построена эффективно.

CNews: Какие из своих последних проектов ИБ вы могли бы отметить как наиболее масштабные?

Олег Самарин: Я хочу подчеркнуть следующее. С каждым клиентом мы связаны соглашением о конфиденциальности и не имеем права открыто говорить, что, где и как мы строим. Я могу лишь на общих моментах остановиться. К примеру, недавно мы построили для одного из крупнейших московских провайдеров шлюз по сопряжению корпоративной сети передачи данных с сетью интернет. Этот проект включал множество различных сервисов по доступу в интернет, по доступу из интернета, контроль защиты от широкого спектра угроз и др.

CNews: Какие услуги и решения в сфере информационной безопасности будут, по вашим прогнозам, наиболее востребованы рынком в ближайшем году?

Олег Самарин: Во-первых, я уже говорил о системе сбора, анализа, корреляции событий информационной безопасности. Второе — это защита систем хранения данных — я думаю, это направление станет горячей темой ближайшего года. Ну, и, помимо этого, все те решения, которые связаны с обеспечением ИБ у сервис-провайдеров.