Александр Соколов: Информационная безопасность нужна, если известна цена информацииО проблемах и перспективах отрасли информационной безопасности России рассказал CNews Александр Соколов, генеральный директор компании «Элвис-Плюс».
CNews: В минувшем году рост Александр Соколов: В целом, конечно, отразилось. Информационная безопасность прочно связана с CNews: Год назад эксперты отмечали, что еще не ясна перспектива стандартов «общие критерии» в России. Что изменилось за прошедшее время? Какую роль сыграло принятие стандартов отрасли? Александр Соколов: Действующий в России стандарт ГОСТ/ИСО МЭК 15408 и международный стандарт ISO 15408 по содержанию одинаковы, поскольку российский вариант «common criteria» был создан по западному аналогу. Однако процедура присоединения России к «common criteria» еще не произошла. Сегодня сертификат, выданный любой западной сертификационной лабораторией по «common criteria», в России силы не имеет. Верно и обратное. Федеральная служба технического и экспортного контроля (ФСТЭК), бывшая Государственная Техническая Комиссия, больше двух лет работала над этой проблемой, но до настоящего времени вопрос не решен. Сложно сказать, что полезнее, присоединяться или нет. С одной стороны, присоединение выгодно, потому что в этом случае продукты, сертифицированные в России, потенциально могут быть признаны на западе. С другой стороны, на рынке практически не будет ограничений на западные продукты. Частично проблема решаема, поскольку международными соглашениями предусмотрена возможность дополнительных ограничений в случае, если степень защиты выше 4 уровня. На самом деле, нужно рассматривать поведение широкого рынка решений ИБ. В этом случае с очень большой вероятностью можно сказать, что российские продукты будут иметь меньше преимуществ. Бюджеты иностранных компаний больше, и отечественные разработчики еще не могут сравниться с ними по масштабам, маркетинговому бюджету и пр. Тем не менее, рынок крупного бизнеса и особенно государственный рынок могут оказаться в не худшей ситуации, поскольку требования «общих критериев» не запрещают устанавливать национальные дополнительные ограничения или требования. Безусловно, в такой борьбе далеко не каждая компания сможет выжить. Однако, возможно часть компаний смогут выйти действительно на мировой уровень по качеству продукции. На сегодняшний день отечественный стандарт ГОСТ/ИСО МЭК 15408 носит добровольный характер, т.е. нет ни одного требования, которое обязывало бы разработчика пройти сертификацию. Несмотря на это, сертификации начались, зарегистрировано уже несколько десятков профилей на различные виды продукции. Положительный эффект сертификации заключается в том, что мы начинаем относится к своим продуктам с позиции международных стандартов, поскольку по содержанию наши стандарты с ними совпадают. Набирается практический опыт, который может оказаться необходимым в случае положительного решения о присоединении. CNews: Прошедший год стал рекордным по размерам ущерба, нанесенного мировой экономике вирусными эпидемиями, спамом и злоумышленными действиями в сети. Каково на ваш взгляд соотношение между ущербом, нанесенным «случайными» преступлениями и намеренными заказными атаками на компании? Как оно изменилось за последний год? Александр Соколов: Мы занимаемся предотвращением угроз, анализируем, какие возможны угрозы и в соответствии с приоритетом, заявленным владельцем системы, помогаем их предотвращать. Поэтому точных статистических данных у меня нет, точнее те данные, которые имеются по конкретным организациям, с которыми мы работаем, не подлежат разглашению. На сегодняшний день проще всего считается экономический ущерб от спама. Хакерские атаки на конкретную организацию случаются достаточно редко, и они не всегда успешны. Сейчас элементарные меры безопасности принимаются практически каждой компанией, и наличие, например, межсетевого экрана позволяет снизить вероятность успешной атаки. Поэтому акцент сдвигается в другую область: наиболее экономически вредным является спам, на втором месте—внутренние угрозы. CNews: По статистике до 80% потерь, связанных с ИБ вызваны утечкой информации в результате неграмотных или умышленных действий внутри компаний. Насколько востребованы компаниями средства защиты от своих сотрудников? Александр Соколов: Подчеркиваю, я могу опираться только на опыт нашей компании и на ту информацию, с которой мы сталкиваемся, т.е. заказчиков, с которыми мы работаем. За последние два, максимум три года, интерес к этим вопросам резко вырос, многие начинают понимать, что, прежде всего, в системах нужно навести элементарный порядок. В данной ситуации вернее говорить не об умышленных действиях, а о нарушениях. Преступления, в данном случае достаточно редки, а вот нарушения, вплоть до ошибок—распространенное явление, и, в среднем, ущерб от них намного больше. В связи этим, организации начинают задумываться о наведении порядка, в том числе и о разграничении доступа к информации. Прежде всего, должно действовать элементарное правило: если у информации есть стоимость, то надо минимизировать к ней доступ. Современные технические средства позволяют разграничивать доступ любым способом. Доступом может обладать один человек или группа пользователей, но обязательно счетная—это еще один принцип ИБ: все должно быть счетно. Если количество пользователей не счетное, говорить об ИБ просто не имеет смысла. CNews: Насколько на ваш взгляд перспективны биометрические средства защиты и разграничения доступа? Проявляют ли заказчики интерес к биометрическим технологиям? Какие факторы сдерживают развитие биометрии в нашей стране? Александр Соколов: Отношение к биометрическим технологиям неоднозначное. У любого продукта есть свои плюсы и минусы. У современных биометрических устройств достаточно велика вероятность ложного отказа в доступе клиенту, имеющему право доступа. Несмотря на имеющиеся преимущества, биометрия не является панацеей. Нужно подходить к ней так же, как и к другим решениям. CNews: Все компании, занимающиеся интеграцией, оказывают услуги консалтинга. Какую роль играет консалтинг в сфере ИБ? Насколько востребована данная услуга в России? Александр Соколов: Услуги консалтинга востребованы, и, опять же, именно в последние 2-3 года заметен существенный рост спроса. Нет стандартизованного определения, что такое консалтинг. Поэтому можно провести грань: там, где заканчивается выработка некоторых рекомендаций, и есть граница консалтинга. Все чаще и чаще приходится заниматься выработкой концепции ИБ для конкретного предприятия. Многие положения стандартны, но каждая организация уникальна, поэтому к каждой требуются индивидуальный подход. После разработки концепции следует подготовка документов и рекомендаций по ее реализации. Наведение элементарного порядка в системе дает заметные результаты. Порой не требуется даже дополнительных вложений. Почти всегда в современных организациях уже есть достаточное количество средств безопасности, но зачастую, они не используются вообще, иногда используются не в полной мере, а иногда просто неправильно. CNews: Какую часть своего Александр Соколов: В мировой практике существуют оценки, согласно которым бюджет ИБ составляет от 10% до 15% от CNews: Соответствует ли финансирование, которое готовы потратить компании на системы ИБ конфиденциальности информации, которую они хотят защитить? Александр Соколов: Если в организации четко поставлена задача, если определена стоимость информации, то проблем с бюджетом ИБ не возникает. Но, к сожалению, пока что это очень редкое явление. Тем не менее, многие компании стали задумываться над вопросом: «как оценить информацию» и положительные примеры в моем опыте уже есть. Более того, появляется интерес со стороны страховых компаний и даже со стороны ассоциации оценщиков к методике экономической оценки информации. Правда тут же стоит подчеркнуть, что и у нас и на западе возникает вопрос: «как рассчитать возврат от инвестиций в ИБ». Ответ однозначный: возврат от инвестиций в ИБ рассчитать нельзя, точно так же, как нельзя рассчитать возврат от инвестиций в сейф. Если не будет ни одной попытки внешнего взлома, если ни один сотрудник не совершит ошибки, и не найдется ни одного сотрудника, который сознательно задумает причинить вред, тогда все деньги, потраченные на систему обеспечения ИБ, окажутся выброшенными на ветер. Обеспечение ИБ — это определенная страховка, а значит, основной вопрос заключается в определении стоимости информации и оценки величины риска от нарушения правил ИБ в отношении данной информации. CNews: Какие наиболее интересные проекты были реализованы вашей компанией в прошедшем году? Александр Соколов: Практически все без исключения контракты в области ИБ содержат раздел конфиденциальной информации. Исключения бывают только в том случае, когда с подписано отдельное соглашение. Каждый конкретный проект, точнее информация о каждом конкретном проекте требует предварительного согласования с клиентом. Я имею возможность говорить только о двух таких проектах. Первый — это проект «Национального удостоверяющего центра». Была разработана однородная масштабируемая система с центром в Москве и фиалами в пяти основных регионах РФ. Использовались продукты четырех производителей: аппаратная вычислительная база IBM, коммуникационное оборудование Cisco, операционная система Microsoft и удостоверяющий центр на основе продуктов KEON RSA с криптографией КриптоПРо, на основе которых с чистого листа было создано решение ИБ. Второй проект—это создание «Базового доверенного модуля» на основе продуктов IBM. С учетом решения политических вопросов данный проект длился около 2,5 лет. В результате был создан российский продукт — мобильное рабочее место с большим объемом функций безопасности, соответствующее требованиям ИБ Российской Федерации. Качество продукта отмечено «юбилейным» сертификатом №1000 в системе сертификации ФСТЭК России. CNews: На какие технологии защиты делается акцент вашей компании? Какие перспективные разработки вы собираетесь предложить в будущем? Александр Соколов: Мы не имеем право делать акцент на технологиях, мы, прежде всего, ставим задачу защиты информации с таким уровнем, который является приемлемым для ее владельца. Не существует универсального продукта, который решает все проблемы. Необходимая степень защиты информации определяет и технологии и продукты, которые буду затем использоваться. Если говорить о перспективах, то я упоминал спам, с которым хорошо бы разобраться. Вторая проблема — это мобильные коды. В конце С одной стороны, такой подход позволяет в определенных ситуациях достигнуть большей эффективности и функциональности, но с другой, появляется неуверенность в том, какую функциональность программа несет в данный момент. Это значит, что наличие элементарной ошибки в коде может привести к такой модификации программы, которая приведет к порче информации или другим последствиям. Поэтому, наверное, технологии работы с мобильным кодом можно отнести к разряду перспективных. Необходимо выработать определенные правила, чтобы быть уверенным, что в любой заданный период времени программ будет выполнять заданные ей функции. CNews: В каком направлении, на ваш взгляд, будет развиваться рынок ИБ России в ближайшие годы? Какие факторы будут определять спрос на средства ИБ в крупных организациях и среднем бизнесе? Александр Соколов: Определенно могу сказать, рынок будет расти. Причина общая, независимо от того, крупная компания или нет: все больше и больше владельцев информации правильно ее оценивают. Спрос на решения проблем ИБ в крупных организациях, кроме прочего, определяется еще одним важным моментом. Такие организации относятся к CNews: Спасибо. |
