INLINE Technologies
Eng

Публикации

BYTE/Россия, № 1–2, 2009

Актуальные вопросы информационной безопасности

Алексей СпиринНа вопросы журнала «BYTE/Россия», заданные экспертам ведущих компаний – системных интеграторов, отвечает менеджер по развитию решений безопасности компании INLINE Technologies Алексей Спирин.

Информационная безопасность – очень многогранное и широкое понятие. Как бы вы определили в целом проблему ИБ и какие выделили бы в ней основные сегменты/направления?

С информационной безопасностью связан целый пласт вопросов, которые на наших глазах уже несколько лет плавно переходят из области, специфичной для ИТ-рынка, в общечеловеческую и даже цивилизационную. Упрощенно можно сказать, что ИБ есть три основные задачи: обеспечить целостность данных (немодифицируемость), их конфиденциальность (нераскрываемость) и доступность. Будут ли решены все проблемы ИБ, если выполнить эти три задачи? Увы, нет. Есть извечная проблема в нахождении компромисса между удобством использования и безопасностью. Есть вопросы законодательства, связанные с необходимостью и легитимностью использования тех или иных средств защиты. Есть вопросы управляемости ИБ на средних и крупных предприятиях, где «простое» использование современных средств защиты не приносит качественных изменений, пока не будет продумана политика ИБ и построена комплексная система управления ею. Есть в конце концов первопричина всех проблем – люди, их осведомленность о необходимости соблюдать определенные правила информационного взаимодействия.

На современном этапе развития цивилизации идет битва за информацию и контроль над ней. Почему люди делают это? Потому что это приносит им какие-либо выгоды и потому что могут. Что останавливает людей от совершения преступления в реальном мире? Воспитание или неотвратимость наказания?

Оставив в стороне рассуждения о свойствах человеческой натуры, затронем другой вопрос: как с помощью технических или организационных мер сделать так, чтобы люди не могли сознательно или неосознанно нарушать правила ИБ?

При известной оптимистичности можно представить себе обозримое будущее, в котором каждый пользователь, получая доступ к корпоративной или публичной сети, проходит биометрическую идентификацию, все его действия учитываются, а ценная информация хранится и передается в защифрованном виде, причем получить доступ к ней может только легитимный пользователь. Есть ли место в такой информационной системе проблемам ИБ? Очевидно, что проблемы качества ПО и наличия злонамеренных программ не исчезнут, но многие из существующих проблем безопасности будут решены.

Делая выводы из всего сказанного, я бы выделил три основные проблемы, решение которых может значительно повысить информационную безопасность:

  • слабая грамотность пользователей в вопросах безопасности;
  • отсутствие гарантированной, криптостойкой аутентификации при доступе к информационным ресурсам;
  • небезопасная обработка и хранение информации.

Для начала решения этих проблем нужные технологии и методологии уже существуют.

Какие сегменты/направления ИБ будут наиболее актуальны для российского рынка в 2009 г.?

Однозначно 2009 г. для ИТ-бюджетов пройдет под знаком кризиса. Уже утвержденные бюджеты и планы развития пересматриваются. Делая выбор между тем, чтобы сохранить рабочие места сейчас или защититься от потенциальных угроз завтра, держатели бюджетов предпочитают первое, и это можно понять.

Но в то же время актуально не только снижение затрат само по себе; для многих компаний кризис – подходящее время, чтобы сделать «умный выбор», т. е. выбрать решения, которые позволят оптимизировать работу компании, ее сотрудников и в конце концов достаточно быстро вернут вложенные в эти решения средства. Это серьезный критерий: ведь решения ИБ не приносят прямых доходов владельцам бизнеса, они предотвращают возможные потери, которые не всегда удается четко подсчитать. Поэтому в первую очередь востребованы будут те продукты и технологии ИБ, которые смогут показать и доказать свою быструю окупаемость и эффективность.

Кроме того, на мой взгляд, получат развитие решения для контроля инсайдеров. Хотя эта тематика достаточно давно присутствует на рынке ИБ, она не была актуальной в силу общего благодушного настроения. Российский корпоративный рынок до недавнего времени недооценивал опасность внутренних угроз и вероятность утечки информации по вине персонала. Сейчас же для увольняемого сотрудника соблазн забрать с собой ценную информацию может оказаться слишком велик.

Еще одна нарастающая тенденция последних лет – соответствие законодательным и вертикальным требованиям. За последние годы многие зарубежные отрасли и компании прошли достаточно большой и, надо сказать, тернистый путь к пониманию необходимости государственного и отраслевого регулирования ИБ. По различным причинам российский рынок находится на начальной стадии становления в этой сфере, но в связи с актуальными изменениями в российском законодательстве и возрастающей интеграцией с западными организациями наши компании вынуждены всерьез учитывать необходимость таких изменений. Мой прогноз – в 2009 г. значительно увеличится количество предприятий, заинтересованных в аттестации своих автоматизированных систем на соответствие закону о персональных данных или отраслевым стандартам и требованиям – PCI DSS, BASEL II и т.д.

Какое место вопросы ИБ занимают в реализации российских ИТ-проектов в целом? Есть ли какие-то различия для отдельных вертикальных и горизонтальных рынков?

По грубой оценке, за последний год практически в каждом проекте так или иначе звучала тема защиты информации. Предпосылки у заказчиков совершенно разные – это и уже упоминавшиеся вертикальные требования, и понимание актуальных угроз ИБ, и желание изначально заложить архитектуру безопасности в новые информационные системы. Достаточно много проектов было выполнено в рамках повышения безопасности уже существующих информационных систем. Так или иначе, люди серьезно задумываются над обеспечением ИБ, и это радует.

Конечно, в целом, информационная безопасность относится к так называемым расширенным сервисам, и в условиях кризиса многим компаниям приходится выбирать решения исходя из их финансовой эффективности. Кстати говоря, наша компания сформировала специальный пул «антикризисных решений», позволяющих реализовать технологическое преимущество в виде повышения вполне ощутимых финансовых показателей. Надеемся, это поможет нашим заказчикам устоять в условиях финансовых потрясений.

Различия между рынками, конечно, существуют. Можно сказать, что необходимость системы контроля и защиты доступа в Интернет все понимают примерно одинаково, но подход к защите от внутренних угроз значительно варьируется в зависимости от корпоративной культуры компании. Традиционно достаточно серьезно подходят к контролю сотрудников банки и промышленные предприятия. В то же время многие крупные, географически распределенные компании уже внедрили или внедряют системы управления информационной безопасностью, но с трудом могут контролировать своих сотрудников в силу больших масштабов. У каждой компании своя специфика, и зачастую приходится комбинировать решения различных вендоров для решения комплекса задач.


Наверх
Вопрос эксперту
Сергей Гаврилов
Серверы, СХД, системы виртуализации
Олег Сухов
Видеонаблюдение, биометрия, системы контроля доступа
Александр Переведенцев
Инженерная инфраструктура ЦОД
Александр Удалов
Обслуживание систем и аутсорсинг
Константин Соловьев
КСПД, центры обработки данных, технологические сети
Дмитрий Мороз
Информационная безопасность
  
|  Карта сайта
1-й Волоколамский пр-д, 10, стр. 1, эт. 6, Москва, 123060   Телефон/факс: +7 (495) 721-35-05   эл. почта: info@in-line.ru   Схема проезда
    © 2010-2020  ООО «Инлайн технолоджис»