EnglishVKTelegram
  • О компании
  • Пресс-центр
  • Решения и услуги
  • Отрасли
  • Проекты
  • Карьера
    • Публикации
    Intelligent Enterprise , № 9 (203), 2009

    ИТ-безопасность: от продуктового рынка к сервисному

    Дмитрий ПородинВряд ли кому-то следует объяснять, насколько статичен рынок информационной безопасности. За прошедшие полгода ситуация на нем просто не могла измениться. Что касается кризисных явлений, то служат ли они своего рода катализатором происходящих изменений или следствия кризиса могут просто их дополнять, является дискуссионным вопросом. Общий вектор данных изменений наметили участники «круглого стола», организованного редакцией журнала Intelligent Enterprise.

    От компании INLINE Technologies в обсуждении принял участие начальник отдела систем информационной безопасности Дмитрий Породин.

    Intelligent Enterprise: Прежде всего хотелось бы прояснить исходную ситуацию в отношении спроса на продукты информационной безопасности. Наверняка изменение предпочтений заказчиков так или иначе связано с сокращением бюджетов, хотя замыкаться только лишь на кризисной теме тоже вряд ли стоит. В последние годы рынок менялся, и соответственно менялись акценты в этих предпочтениях.

    Дмитрий Породин: Соглашусь с тем, что в целом бюджеты на развитие информационной безопасности сокращаются как и ИТ-бюджеты. Однако говорить о среднем уровне сокращения бюджетов так же бессмысленно, как говорить о средней температуре по больнице. Изменения бюджетов сильно зависят от отрасли, формы собственности предприятия и от степени влияния подразделения информационной безопасности в компании. Если это влияние достаточно высоко, то и в смысле выделения средств на развитие информационная безопасность, скорее всего, окажется в более выгодном положении, чем ИТ в целом.

    В условиях кризиса законодательные инициативы и требования регуляторов будут оказывать сильное влияние на развитие информационной безопасности. Безусловно, основной фактор влияния – это закон «О персональных данных». Требования закона распространяются на компании всех отраслей и форм собственности, поэтому ИТ-бюджет практически каждой российской компании должен включать мероприятия по приведению информационной системы в соответствие требованиям закона и подзаконных актов.

    Еще одним актуальным примером, как мне кажется, является новое указание Банка России «О внесении изменений в положение Банка России «Об организации внутреннего контроля в кредитных организациях и банковских группах», которое вышло в марте этого года. Если говорить совсем коротко, то смысл здесь в том, что каждый российский банк обязан иметь план по обеспечению непрерывности бизнеса, который необходимо представить в Банк России в самое ближайшее время. Замечу, что требования данного положения являются обязательными и все банки должны их выполнять. В отличие от стандарта Банка России СТО БР ИББС, который пока является только рекомендательным документом.

    Все мы знаем, насколько тесно вопрос непрерывности бизнеса связан с информационными технологиями вообще и с необходимостью дополнительных затрат. На сегодня для российских банков это сложная проблема, обладающая как минимум многими вариантами решений. Кроме «чистых» вопросов информационной безопасности, мы здесь можем столкнуться с оценкой возможностей существующего оборудования, с необходимостью понимать задачи бизнеса, с различными схемами организационных решений данного вопроса и т. д. Понятно, что в подобных ситуациях чрезвычайно важны авторитет подразделения ИБ, его возможность предложить адекватное решение, взять, если угодно, инициативу в свои руки.

    Intelligent Enterprise: Что бы вы могли сказать о зрелости заказчика, насколько заказчик готов решать задачи информационной безопасности системно.

    Дмитрий Породин: Изменение рынка в последние годы связано с возросшей популярностью системного подхода. Да, в последние годы стало заметно увеличение количества заказчиков, которые используют современные подходы к обеспечению информационной безопасности. Повышение спроса на консалтинговые услуги по внедрению процессов управления информационной безопасностью как раз свидетельствует об этом изменении на рынке.

    Однако нынешняя ситуация на рынке вносит свои коррективы и в реализацию тех или иных требований законодательства или стандартов ИБ. Выше, приводя в пример одни из документов, требующих развивать направление непрерывности бизнеса в банках, я не сказал о последствиях. Думаю, что первая реакция у многих банков выразится в каких-то формальных шагах, призванных продемонстрировать решение проблемы и отчитаться перед регулятором. И уже потом ответственные сотрудники банков начнут реально работать над проблемой обеспечения непрерывности деятельности.

    Intelligent Enterprise: Мы отчасти связали вопросы готовности заказчиков к развитию технологий ИБ в отечественных организациях с некоторыми технологическими акцентами данного направления и формами предоставления соответствующих услуг заказчику. Не могли бы вы рассказать об этом более подробно?

    Дмитрий Породин: Тенденция повышения спроса на качественный консалтинг в области ИБ – это практически ответ на вопрос об изменении форм предоставления услуг заказчику. Это направление будет развиваться, и не очень востребованные на сегодня услуги аутсорсинга будут в условиях кризиса и сокращения бюджетов повышать свою долю на рынке. Я не согласен, что продуктовый рынок в России уже закончился. Во многих российских организациях уровень ИБ крайне низок. В огромном количестве компаний используются нелицензионные средства ИБ. Поэтому пока говорить о насыщении рынка продуктами еще рано.

    Intelligent Enterprise: Сейчас едва ли не в каждом инфраструктурном или прикладном решении существуют функции, так или иначе связанные информационной безопасностью. Не должно ли это приводить к тому, что в новых условиях между развертыванием на площадке заказчика этих функций и внедрением систем, традиционно относимых исключительно к категории продуктов ИБ, должна быть обеспечена своего рода координация?

    Дмитрий Породин: Тенденция смещения информационной безопасности в сторону бизнес-приложений верна. Конечно, все и всегда настойчиво утверждали, что, внедряя соответствующие традиционные средства ИБ, они решают задачи бизнеса. В целом это и раньше соответствовало действительности, так как было необходимо быстро решать самые насущные и срочные вопросы защиты периметра корпоративной сети и противодействия вредоносному коду, внедрения сертифицированных средств криптографической защиты информации и пр. Но именно в последнее время бизнес начал явно ощущать дисбаланс, связанный с тем, что ИТ-безопасность развивалась от сугубо технически ориентированных систем (таких как, скажем, антивирусы или межсетевые экраны). Вместе с тем при значительных вложениях в технологические системы ИБ самая критичная для бизнеса информация, обрабатываемая в прикладных системах, осталась практически незащищенной.

    Дополнительной проблемой является отсутствие готовых специалистов в области защиты бизнес-приложений. Это связано с тем, что квалификация специалистов в области ИБ росла вместе с развитием технологических систем. Теперь же часто требуется, чтобы они не только умели настроить оборудование и программы, но и по меньшей мере знали, что такое операционный день банка и как работает автоматизированная банковская система. И в этом отношении спрос сейчас явно превышает предложение.