Публикации
Вернуться
«Connect! Мир связи», № 9, 2008

Что защищаем, от чего и как?

Д. ПородинНа вопросы журнала «Connect! Мир связи», заданные ведущим экспертам компаний – системных интеграторов в ходе «круглого стола» по информационной безопасности в России, отвечает руководитель группы защиты и управления информацией INLINE Technologies Дмитрий Породин.

«Connect!»: Тема аутсорсинга в сфере ИБ по-прежнему актуальна и вызывает немало споров. Что тормозит процесс развития аутсорсинга на отечественном рынке ИБ?

Дмитрий Породин: Не секрет, что на нашем рынке информация об инцидентах в области ИБ практически никогда не выносится за пределы компании. Найдется не много компаний, которые решатся доверить свои секреты сторонней организации, учитывая, что при этом риск огласки инцидентов значительно повышается. Кроме того, далеко не все функции обеспечения ИБ можно отдать на аутсорсинг. На мировом рынке данная область услуг тоже развивается очень медленно. По данным исследований, больше половины компаний вообще не пользуются аутсорсингом.

На отечественном рынке спрос на услуги аутсорсинга некоторых решений в области ИБ, возможно, будет расти в секторе SMB.

«Connect!»: Не секрет, что в структуре внутренних угроз предприятия инсайдерство стоит не на первом месте, и эта проблема зачастую возникает из-за незлонамеренных нарушений ИБ. Какую причину сложившейся ситуации можно назвать главной для отечественных компаний: техническое несовершенство системы ИБ, организационные недоработки, низкий уровень культуры пользователей или что-то иное?

Дмитрий Породин: Влияют практически все перечисленные причины. Отсутствие четких политик и нормативной базы в сфере ИБ во многих компаниях, четкого определения степени конфиденциальности информации, жестких правил ее обработки, хранения и передачи. В большинстве систем ИБ отечественных компаний отсутствуют и технические меры, способные предотвратить внутренние угрозы, например утечку конфиденциальных данных или ошибку сотрудника, получившего избыточные права доступа к бизнес-приложениям.

Уровень культуры сотрудников в области информационной безопасности напрямую связан с общим уровнем информационной безопасности в компании, так как работа с пользователями является неотъемлемой частью современной системы управления ИБ.

«Connect!»: Можно ли утверждать, что отечественные заказчики сегодня стали подходить к ИБ как к процессу? Насколько востребованы сегодня в России решения по построению комплексных СУИБ? Какие решения проактивного характера в сфере И Б зарекомендовали себя лучше всего и какие являются наиболее перспективными?

Дмитрий Породин: Такие тенденции наблюдаются в компаниях, уделяющих большое внимание вопросам ИБ. Прежде всего, я бы отметил финансовый сектор экономики, в частности банковскую сферу, где существенное влияние оказывают критичность информационных ресурсов и наличие стандарта Банка России в области обеспечения информационной безопасности.

Комплексные системы управления ИБ сегодня весьма востребованы. Из наиболее перспективных и хорошо зарекомендовавших себя решений в сфере информационной безопасности следует назвать системы управления учетными записями и правами доступа (Identity and Access Management), системы управления событиями информационной безопасности (Security Information and Event Management), системы защиты от утечек конфиденциальной информации (Information Leak Prevention).

«Connect!»: Закон о защите персональных данных и ряд соответствующих нормативных документов уже действуют. Как вы оцениваете опыт создания, регистрации и эксплуатации систем защиты ПД? Какие наиболее распространенные технические и организационные сложности выполнения требований регулятора вы бы отметили?

Дмитрий Породин: После принятия Закона «О персональных данных» и утверждения положения об обеспечении безопасности ПД все ждали подзаконных актов, разработанных основными регуляторами в этой сфере – ФСТЭК и ФСБ России.

На сегодняшний день ФСТЭК разработаны четыре нормативных документа. Они вызывают массу вопросов как у системных интеграторов, так и у заказчиков. Создается впечатление, что при разработке новых документов не принимались во внимание современные информационные технологии, системы информационной безопасности и методы их обхода. Часть требований почти без изменений перешла из руководящих документов Гостехкомиссии 1992 г. по АС и СВТ.

Обсуждение недостатков нормативной базы в области защиты персональных данных и сложностей выполнения таких требований могло бы стать темой отдельного «круглого стола». Замечу, что совершенно непонятно, зачем в документах по защите персональных данных упоминаются каналы утечки, свойственные сведениям, составляющим гостайну. Камнем преткновения является также требование по обязательной сертификации средств защиты информации на отсутствие не декларированных возможностей в соответствии с руководящим документом Гостехкомиссии. В настоящее время таких средств защиты крайне мало даже у отечественных производителей, а для решений в области информационной безопасности зарубежного производства это требование является, по сути, непреодолимым барьером.