Рынок информационной безопасности: взгляд интеграторов

1. Расскажите, пожалуйста, что, на Ваш взгляд, необходимо сегодня Вашим заказчикам? Как меняются их запросы по сравнению с предыдущими годами?
2. Оборудование и системы каких российских и зарубежных игроков наиболее популярны у Ваших заказчиков? Почему?
3. Что мешает потребителям выделять больше средств на защиту информационных активов их организаций?

Михаил Башлыков,
руководитель направления информационной безопасности КРОК

1. Фокус в проектах и требования заказчиков смещаются в сторону комплексных решений информационной безопасности. При внедрении очередной подсистемы защиты перед интеграторами стоят задачи не нарушить всю систему безопасности компании. Задачи, стоящие перед нами, находятся в плоскости совершенствования корпоративных систем безопасности, а не просто в виде установки тех или иных систем или разработки политик безопасности. Ведь современная корпоративная система безопасности призвана обеспечивать защиту конфиденциальной информации от несанкционированного доступа, предотвращать злонамеренные или случайные изменения, контролировать целостность и предоставлять необходимый уровень доступности. Речь идет именно о системе, а не об отдельных, пусть даже очень эффективных в своей области решениях. Каждая подсистема защиты интегрируется в общую информационную систему организации. Реализация такой интеграции невозможна без специализированных услуг по информационной безопасности. Вполне возможно, в будущем соответствующая служба по ИБ у организации трансформируется в службу по управлению рисками. В этом случае в ведении специалистов останутся только организационные и контролирующие функции по управлению корпоративными рисками (финансовые, информационные, операционные). Примеры такого подхода уже появляются на рынке, но в целом это перспектива на 8-10 лет.

Сейчас проекты по информационной безопасности - это составляющая часть общих ИТ-проектов. Иногда при создании информационных систем заказчик сам инициирует установку подсистем защиты на них.

Хотя есть целые отрасли экономики, для которых легко оценить информационные риски, - это телекоммуникационные компании,  банки и государственные учреждения. Конечно, есть весомая разница при выборе средств защиты в зависимости от сферы деятельности компании, но объединяет все эти три сферы наличие серьезных комплексных систем безопасности. Главная задача в крупных проектах - умело объединить несколько информационных систем и создать комплекс подсистем безопасности. Только так мы можем гарантировать заказчику эффективное и простое в эксплуатации ИТ-решение, в том числе и по информационной безопасности. А развитие компаний, расширение филиальных сетей неминуемо влечет за собой появление все новых информационных систем, при внедрении которых необходимо сразу задумываться о подсистемах информационной безопасности. Это подразумевает не столько внедрение систем безопасности, сколько первоначальный консалтинг, построение процессов ИБ, их регламентирование и стандартизацию посредством создания пакета соответствующих документов. Сочетание технических и организационных мер помогает правильно эксплуатировать ИТ-системы и получать эффект от их внедрения. В свою очередь установление процессов управления информационной безопасностью в соответствии с международными стандартами, например ISO 27001, в значительной степени упрощает работу сотрудников, отвечающих за эксплуатацию систем безопасности, а также сокращает расходы на их содержание.

В крупных компаниях с множеством информационных систем и пользователей невозможно для каждой системы установить систему безопасности и ответственного за нее человека. Как обеспечить сохранность данных, а также распределенный и правильный доступ? Эту задачу невозможно решить без внедрения комплексной системы мониторинга событий информационной безопасности. В больших компаниях все больше увеличивается спрос на решения по управлению, анализу и мониторингу.

Современные компании все больше внимания уделяют построению процессов информационной безопасности. Если раньше это было дополнительным требованием к системе, то теперь это необходимый бизнес-процесс, без которого невозможно сохранить имеющиеся информационные активы.

Потребность в комплексных системах предъявляет высокие требования к интеграторам. Они должны не только внедрить, но и обеспечить качественную поддержку этих систем. Заказчики понимают, что для правильной эксплуатации систем защиты нужно иметь в штате квалифицированных специалистов, а в некоторых случаях отдавать процессы безопасности на аутсорсинг.

2. Здесь сложно говорить о популярности какого-то оборудования или программного обеспечения. К тому же исторически сложилось, что спектр продукции зарубежных производителей намного шире. Но у российских производителей есть ряд преимуществ: наличие сертификатов от Федеральной службы безопасности (ФСБ России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России), что и позволяет им занять свою нишу среди многообразия продуктов. В некоторых компаниях критичность выбора оборудования для защиты опирается именно на наличие этих сертификатов. Западные производители предлагают более широкий функционал, предлагая заказчикам комплексный подход к решению их задач. Но когда речь идет о наличии нормативных документов, то на выручку снова приходит российский продукт.

Последнее десятилетие западные технологии развиваются, в первую очередь ориентируясь на задачи, стоящие перед корпоративными клиентами. В ответ на появляющиеся угрозы информационной безопасности большинство производителей формируют комплексный портфель решений, включающий технологии обеспечения сетевой безопасности рабочих станций конечных пользователей, антивирусной защиты и защиты от спама, контентной фильтрации и централизованной системы управления ИБ. Расширяя спектр своих предложений, производители приобретают небольших игроков, специализирующихся на новых технологиях.

Здесь стоит отметить тот факт, что в России вопросам информационной безопасности долгое время уделялось недостаточно внимания. В результате применяющиеся во всем мире технологии и решения не только не отстают от потребностей российских корпоративных заказчиков, но и во многом определяют их текущие планы по развитию ИБ.

Какие же еще факторы помимо наличия сертификатов могут повлиять на выбор заказчика? Оценивая функционал систем, каждый заказчик интересуется ценой продукта, следовательно, важным фактором является отношение цена-качество. Также бы я отметил доступные отчеты Gartner, завоевавшие авторитет среди ИТ-сообщества, и, конечно же, мнения российских экспертов.

Кроме того, определенно все обращают внимание на производительность, отказоустойчивость и функционал систем информационной безопасности. Выбор иногда может зависеть от уже имеющихся аппаратных средств. Например, если у вас большая часть инфраструктуры построена на оборудовании одного производителя, то средства защиты этого производителя обойдутся дешевле.

Перед ИТ-подразделениями компаний стоят задачи не только внедрить те или иные системы, но также и снизить общую стоимость владения инфраструктурой, поэтому очевиден выбор моновендорных решений. Хотя есть компании, в которых пристальное внимание к проблемам безопасности диктует применение мультивендорных решений. Есть системы безопасности, которые создаются на базе мультивендорных решений, например антивирусные пакеты и системы защиты периметра. Естественно, мультивендорные решения значительно повышают степень безопасности.

3. Компании, имея перед собой определенные цели снижения  совокупной стоимости владения ИТ-инфраструктурой и максимально быстрого периода окупаемости инвестиций в нее, сокращают затраты на первых стадиях внедрения и эксплуатации информационных систем. Иногда бывает, что безопасность становится первой статьей для экономии. На мой взгляд, это связано с тем, что руководство плохо информировано о возможных последствиях из-за недостаточной защищенности ресурсов. Компании недооценивают существующие угрозы, а это сказывается на финансировании мер по обеспечению безопасности информационных активов. ИТ-руководителю или руководителю службы информационной безопасности зачастую бывает действительно сложно обосновать необходимость тех или иных инвестиций в построение системы информационной безопасности, и финансирование может происходить по остаточному принципу: остались средства, значит, можно вложить и в ИТ - хуже не будет. Таким образом, вовлеченность руководства в процесс управления информационной безопасностью продолжает оставаться достаточно небольшой, поэтому успешность реализации проектов по ИБ во многом зависит от личной настойчивости и опыта директора по ИТ или ИБ. Такая ситуация может продолжаться до тех пор, пока каждая компания не достигнет определенного уровня ИТ-зрелости. Совсем скоро мы придем к тому, что особое внимание будет уделяться не просто внедрению систем защиты, но и регламентированию и выстраиванию процессов безопасности. Сейчас информация является ключевым активом, и очевидно, что ее защита не может осуществляться по остаточному принципу. Хотя в последние несколько лет ситуация меняется в лучшую сторону. Успешные и крупные компании создают или уже создали отдельные подразделения, разрабатывают корпоративные стандарты и политики, выделяют деньги на развитие и поддержание средств информационной защиты.

Алексей Быков,
ведущий менеджер Центра мобильных решений ВСС

1. Уровень ИТ-инфраструктуры российских предприятий и организаций в последние годы заметно повышается, возрастает спрос на различные ИТ-продукты, особенно на те, которые предназначены для обеспечения информационной безопасности (ИБ). Спрос на эти продукты как в России, так и в мире в целом обусловлен тем, что информация о компании (финансовая, производственная, маркетинговая и т.п.), хранимая в ее ИТ-инфраструктуре, осознается как ценный актив, который должен хорошо управляться, контролироваться и быть защищенным. Особое значение приобретает защита этого актива для территориально распределенных организаций и предприятий, а таких в России становится все больше в результате процессов консолидации бизнеса, так как полная централизация всей важной информации о компании возможна в очень редких случаях. Отвечая растущему спросу на средства ИБ, значительно активизируют свою деятельность в том числе и в России лидеры мирового рынка ИБ, а также российские компании, специализирующиеся в этой области.

1 ноября 2007 г. корпорация IBM объявила о "крупной инициативе", призванной повысить продажи продуктов компании на мировом рынке ИБ, для чего в 2008 г. IBM потратит $1,5 млрд на маркетинг и разработку этих продуктов. Кроме того, на мировом рынке И Б прошла целая череда слияний и поглощений: ЕМС приобрела RSA Security за $2,1 млрд, а также Network Intelligence. Таким же образом объединили свои усилия компании Symantec и Veritas, Microsoft и RAV + Sy-bari, McAfee и Onigma, IBM и Consul.

Несмотря на растущую привлекательность российского рынка ИБ, существуют определенные трудности в его развитии: нюансы в законодательстве, традиционная "закрытость" отечественных компаний. Но вместе с тем в последние годы эта "закрытость" преодолевается: если раньше многие российские компании не доверяли решение вопросов И Б внешним специалистам, то теперь ситуация несколько изменилась - многие компании осознали, что внедрение, разработку, аудит средств ИБ проще выполнить "руками профессионалов". Эти компании теперь хотят не просто купить продукт для обеспечения ИБ, они осознали необходимость аудита ИТ-инфраструктуры с точки зрения ИБ, внедрения и дальнейшей поддержки этого продукта. Исходя из этого компании-заказчики убеждаются в том, что им нужны и соответствующие решения. Кроме того, в крупных компаниях концептуально меняется подход к обеспечению ИБ - они стремятся к конвергенции бизнес-процессов и систем ИБ, к выработке комплексных решений, наблюдаются тенденции к интеграции "разрозненных решений".

Компании сегмента SMB также существенно увеличивают спрос на рынке средств ИБ (судя по оценкам наших аналитиков, спрос на рынке SMB удвоился по отношению к крупному корпоративному клиенту). На наш взгляд, они идут по пути, проложенному около трех лет назад крупными компаниями с парком более 1000 ПК. Компании сегмента SMB в настоящее время "оттачивают" свои системы на периметре сети, "обеляют" свое ПО, обучают специалистов И Б. В госсекторе наблюдается упорядочивание существующих систем и развитие традиционно "лоббируемых"направлений: в частности, заметен рост инвестиций в нацпроекты, что, в свою очередь, достаточно явно отразилось на внедряемых системах.

Растет число пользователей информационных систем, они становятся более территориально распределенными, что вызывает необходимость в построении систем управления безопасностью и повышает интерес к системам защиты данных при их передаче по каналам связи и, как следствие, к средствам формирования инфраструктуры шифрования и управления ключами, мониторинга состояния, интегрированного управления продуктами защиты различных производителей.

2. Если рассматривать конкретные продукты, то на рынке ИБ заметно смещение приоритетов в их использовании: корпоративные межсетевые экраны (firewall) в настоящее время тесно взаимодействуют с системами обнаружения и предотвращения сетевых атак (IPS, IDS). Как правило, с ними уже интегрируются и средства построения виртуальных частных сетей (VPN). Достаточно известны в данном сегменте программные и аппаратные решения таких компаний, как Cisco Systems, Checkpoint, Microsoft.

Отчетливо прослеживается смещение направленности производителей в сегмент SMB.

На рынке антивирусного ПО наблюдается тенденция его интеграции с персональными брандмауэрами. Широко известны в этой области компании Symantec, "Лаборатория Касперского", Trend Micro, McAfee, предлагающие продукты, которые удовлетворяют желания самого требовательного специалиста. Но, как показывает практика, в корпоративных системах администраторы и офицеры безопасности предпочитают мультивендорные антивирусные системы: защиту файл-прокси-серверов и почтовых релеев антивирусом одного производителя и одновременное использование персональных антивирусов от другого производителя. Прошедший год показал заинтересованность компаний-заказчиков в системах биометрического контроля и аутентификации. Как показала практика, данные системы достаточно хорошо решают проблемы так называемого человеческого фактора, то есть передачу пароля самим пользователем при работе с учетными записями.

В последнее время наблюдается значительная "мобилизация" корпоративного пользователя, что, несомненно, накладывает свой отпечаток и на внедрение систем безопасности для мобильных устройств. Помимо применения антивирусов для корпоративных мобильных устройств перед ИТ-директорами и их службами очень остро встала проблема безопасного доступа к корпоративным ресурсам (мобильная почта, CRM, различного рода порталы). Такие задачи порождают проблемы не только доступности в любой точке по любому каналу, но и обеспечения безопасной идентификации пользователя. В данном сегменте себя зарекомендовали системы многофакторной аутентификации. Применение SecureID-механизмов в связке с VPN-серверами обеспечивает безопасные соединения. Системы одноразовых паролей, смарт-карты, как правило, интегрируются в уже существующую ИТ-инфраструктуру компании-заказчика.

На данном направлении известна продукция таких компаний, как ЕМ С (RSA Security), Aladdin. Очень интересно направление в области защиты конфиденциальных данных от утечек (ILDP - Information Leakage Detection and Prevention). Рынок ILDP - контроль почтового и Web-трафика, Интернет-пейджеров, принтеров, съемных и записывающих устройств - растет с темпами, опережающими весь рынок ИБ. Утечка внутренних данных вызывает наибольшую обеспокоенность у отечественных пользователей, причем все более заметной становится потеря данных через мобильные накопители. Данное направление пока не сформировало лидеров и аутсайдеров среди компаний, предлагающих свои решения, но безусловное влияние оказывают особенности русского языка (семантического ряда) для возможности фильтрации контента.  На рынке систем ILDP получили признание продукты InfoWatch, WebSense, Дозор-Джет, SurfControl.

3. Рассмотрим подробнее, какие именно факторы влияют на формирование рынка ИБ, что мешает, а что помогает потребителям выделять больше средств на защиту информационных активов своих организаций.

Вступление в силу Федерального закона "О персональных данных" в начале 2007 г. заставило многие организации задуматься над защитой своих данных, что заметно увеличило расходы на ИБ. Это, конечно, может создать ряд "подводных камней" при контроле исполнения.

Отсутствие понимания такого рода потерь предприятия топ-менеджментом, а также умалчивание инцидентов со стороны ИТ-директоров приводит к ложному видению положения дел.

Нехватка квалифицированных специалистов заметно тормозит развитие систем ИБ у компаний-заказчиков. При отсутствии отдельных служб ИБ на предприятии желание топ-менеджмента пойти на самостоятельное внедрение не вызывает энтузиазма в ИТ-подразделениях, особенно у администраторов ИТ-служб, которым поручается выбор вендора, разработка политик, инсталляция и дальнейшая поддержка систем ИБ, что воспринимается последними как дополнительная нагрузка. В итоге проект стопорится или сознательно затягивается.

Владислав Павперов,
руководитель проектов по информационной безопасности, департамент сетевой интеграции, Группа компаний "ЛАНИТ"

1. 2007 г. подчеркнул основные тенденции, которые начали складываться на рынке информационной безопасности (ИБ) еще в 2005-2006 гг., - это изменения в требованиях, предъявляемых клиентами к ИБ, соответствующие изменения в подходах к ее обеспечению, структуре предложения со стороны вендоров.

Клиенты все чаще требуют внедрения не каких-либо локальных технических средств, а комплексного решения, обеспечивающего защиту их критичных бизнес-процессов от определенного спектра потенциальных угроз. Клиенты демонстрировали понимание того, что защита информации - это не столько внедрение конкретных решений (межсетевых экранов, антивирусных средств и т.п.), а всеобъемлющая защита их бизнес-процессов и бизнес-активов в целом.

Для понимания требований со стороны заказчика компании все чаще используют такие методы, как оценка влияния различных бизнес-процессов на бизнес (BIA - business impact analysis) и оценка рисков. Они позволяют не только выделить наиболее критичные с точки зрения обеспечения ИБ процессы, но и наиболее критичные угрозы и уязвимости, а также оценить экономический эффект от внедрения решений по ИБ.

Оценка экономического эффекта от внедрения решений по И Б пока еще остается слабой стороной деятельности многих предприятий. Однако уже наметилась тенденция, во многом связанная с активным применением перечисленных выше методов, использованием экономических показателей и коэффициентов, таких как Cost Benefit Analysis (анализ затрат и результатов), Return on Investments (окупаемость инвестиций) и Total Cost of Ownership (совокупная стоимость владения), в применении к инвестициям в ИБ.

Изменился и сам подход клиентов к пониманию того, что является информационной безопасностью. Это не набор технологий и средств, а процессы, предназначенные обеспечить достижение планируемых бизнес-целей. Внедрение систем управления ИБ в соответствии со стандартом ISO 27001, активно продолжавшееся в минувшем году, помогает развивать "процессный" подход к обеспечению ИБ. В связи с этим системные интеграторы, имеющие опыт бизнес-анализа ИТ-систем, создания экономически эффективных ИТ-систем, работающие в соответствии с международными стандартами в области управления и внедрившие у себя процессный подход к управлению ИТ и ИБ, будут иметь преимущество перед другими игроками на рынке ИБ. Они готовы предлагать клиентам именно комплексные, экономически эффективные решения, ориентированные на бизнес-процессы клиентов, где задачи ИТ тесно интегрированы с вопросами ИБ, а управление строится на современных стандартах.

2. Изменения в требованиях ведут, очевидно, к изменению спроса и предложения. Поскольку в последние годы растет спрос на комплексный подход в защите от различных угроз, то преимущество отдается вендорам, готовым предложить именно комплексное решение. При этом "мозаичный" набор различных средств от разных вендоров все реже используется на практике, так как для клиентов это означает дополнительные (и значительные) инвестиции в оборудование, специалистов, поддержку и развитие систем, притом что выигрыш в функциональности решений не всегда бывает очевиден. Таким образом, сейчас у клиентов наиболее популярны продукты тех вендоров, кто предлагает решения, обеспечивающие выполнение большего круга задач по ИБ: Cisco Systems, Symantec, IBM, Microsoft.

Следует отметить, что все большее внимание уделяется решениям, обеспечивающим    защиту    от    внутренних угроз, направленных на контроль доступа внутри корпоративных сетей: решениям Network Access Control (NAC), Identity&Access Management (IAM), a также решениям, позволяющим видеть и анализировать состояние информационной безопасности, принимать оперативные решения, - Security Informa-tion&Event Management (SIEM).

Активно развивается направление консалтинга в области управления ИБ. Все большую популярность завоевывает Международный стандарт менеджмента безопасности ISO 27001. Появление отраслевых стандартов, таких как стандарт Банка России по информационной безопасности, Международный стандарт защиты информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standrad), и их внедрение также расширяют рынок управленческого консалтинга. По мере развития систем управления И Б и внедрения указанных стандартов все чаще становятся востребованными услуги по сертификации и аудиту на соответствие этим стандартам.

И, наконец, аутсорсинг И Б. Можно предположить, что в 2008 г. это направление услуг будет развиваться особо активно. Все-таки квалифицированных специалистов по ИБ в России пока мало, а аутсорсинг предполагает их эффективное использование. Повышение роли задач мониторинга и анализа И Б, оперативного реагирования на возникающие угрозы наряду с внедрением систем SIEM и созданием оперативных центров безопасности (SOC, Security Operations Center), а также внедрение методов экономического анализа эффективности процессов И Б создают предпосылки для все более активного использования аутсорсинга как средства снижения расходов на И Б и повышения эффективности мер по ИБ.

3. Исторически обеспечение ИБ считается расходной статьей бюджета организации. Компании стремятся реинвестировать прибыль в развитие основной (доходной) деятельности. Кроме того, методы экономического анализа эффективности от инвестиций в ИБ только начинают развиваться и внедряться, а без оценки экономического эффекта от И Б невозможно требовать больших расходов.

Развитие систем управления ИБ, внедрение стандарта ISO 27001, предполагающего анализ эффективности процессов ИБ, разработку метрик и ключевых показателей эффективности (KPI, Key Perfomance Indicators), а также активное вовлечение высшего менеджмента компаний в управление ИБ позволяют рассчитывать на то, что расходы на ИБ будут увеличиваться. Естественно, что рост инвестиций в ИБ будет также обусловлен ростом стоимости бизнеса и защищаемой информации, зрелости процессов управления, повышением требований к непрерывности бизнеса и внедрением стандартов в области ИБ.

Сергей Родионов,
директор департамента системной интеграции, Корпорация ЮНИ.

1. По мере своего развития информационные системы предлагают все больше различных сервисов. Это приводит к увеличению количества уязвимых мест, и, как следствие, новых угроз для корпоративных информационных систем. Чем масштабнее бизнес компании, тем чувствительнее для него угрозы в области управления информационной безопасностью (ИБ).

Сегодня на рынке существует огромное количество различных систем по обеспечению ИБ. К сожалению, для всесторонней защиты не удается ограничиться решениями одного-единственного производителя, поэтому комплексные системы информационной безопасности, как правило, включают в себя продукты сразу нескольких разработчиков.

Компании с распределенными сложными системами ИБ, решая задачу их комплексной защиты, сталкиваются с задачей управления гетерогенными системами информационной безопасности. С ростом применяемых систем обеспечения ИБ сложность управления безопасностью в целом растет в геометрической прогрессии.

Оценка системы ИБ в целом, контроль общей защищенности всех систем, осуществление управления ими являются самыми главными условиями для надежной работы предприятия. В связи с этим все большую популярность приобретают продукты, позволяющие оценивать системы ИБ в целом, контролируя общую защищенность всей системы. Современные системы ИБ позволяют осуществлять мониторинг и автоматическую обработку данных в режиме реального времени, и не только собирать всю информацию, связанную с безопасностью, но и, интеллектуально анализируя ее, активно управлять отдельными ее элементами.

На рынке ИТ-услуг и телекоммуникаций наблюдается устойчивая тенденция поиска дополнительных источников доходов за счет предоставления дополнительных сервисов. Это влечет за собой спрос на услуги аудита и аутсорсинга. Оставляя за собой функции администратора системы, предприятия передают функции текущего обслуживания, сопровождения программно-аппаратных комплексов информационной безопасности специализированным компаниям.

2. Безусловно, что в последние годы вместе с развитием технологий и ростом рисков ИБ существенно усложнились продукты в области информационной безопасности, возросли требования к квалификации администраторов систем ИБ.

Но было бы не совсем правильно делать акцент на популярности или востребованности конкретного "оборудования и программных систем" того или иного производителя или поставщика, сегодня гораздо важнее системный подход к построению комплексной системы безопасности. При профессиональном подходе к проектированию системы и последующей грамотной эксплуатации, не так важно, на каком конкретном оборудовании и программном обеспечении реализовано решение, гораздо важнее, насколько оно соответствует функциональным требованиям заказчика.

Например, защита от инсайдеров -это тема, которая в настоящий момент является, безусловно, одной из наиболее актуальных проблем, беспокоящих специалистов в области информационной безопасности. Однако понимание проблемы еще не есть ее решение. Конечно, можно написать массу инструкций, приказов и других документов, определяющих обязанности пользователей, можно их обучить, создать институт ответственных за информационную безопасность и т.п.

Но исправит ли это ситуацию? Давайте сами себе зададим вопрос: "А кто и как будет контролировать выполнение требований документов?"

Системный администратор? Конечно, будет, когда для этого у него найдется время.

Офицер по безопасности? Возможно, если у него хватит компетенции анализировать множество логов от всевозможных средств защиты - от брандмауэра до антивируса или средств резервного копирования.

Возникает следующий вопрос: "А сможет ли он это делать?" Каждый пользователь десятки раз в день обращается к сетевым ресурсам, делает сотни запросов в Интернет. А теперь представим себе, что пользователей не один и не десять, а сотни. Анализировать эти мегабайты логов с надлежащим качеством вряд ли возможно без специальных средств. Видно, что проблема становится объемной и тяжелой в решении, механическая "фильтрация" событий вряд ли допустима. Можно, конечно, минимизировать объем анализируемой информации, но такое решение приведет к "близорукости" всей системы ИБ. Значит, кроме инструкций, приказов и других регламентирующих документов необходима возможность предварительного анализа событий с целью принятия решения - был инцидент или нет. И конечно, желательно, чтобы это делали не люди (человеку свойственно ошибаться), а специальные средства. Они должны отсеять мегабайты информации, представляющей только статистический интерес, и оставить крупицы действительно ценных данных, которые позволят или предупредить инцидент, или обоснованно его расследовать.

Без такой технической системы задача борьбы с инсайдерами становится сизифовым трудом, малоэффективной "стрельбой по площадям". Поэтому сегодня гораздо в большей степени востребованы услуги по аудиту, проектированию комплексных систем, разработке документации и регламентов, планированию и модернизации, обучению персонала, чем по банальному выбору одного из двух или трех производителей. Все поставщики сегодня предлагают решения примерно одного уровня и различия в функциональности уже не столь велики, чтобы иметь решающее преимущество среди конкурентов.

З. Со стороны создается впечатление, что у "богатых" клиентов дела обстоят хорошо. Но далеко не всегда объем инвестиций и потраченные деньги свидетельствуют о благополучии в области ИБ. Поэтому было бы не совсем правильно сопоставлять размер бюджета, направленного на информационную безопасность, и эффективность построенной системы, ее качество. Вопрос не в том, чтобы "выделять больше", а в том, чтобы "делать лучше". К тому же в каждой отрасли существует своя специфика, связанная с государственным регулированием, отраслевыми требованиями и стандартами и сложившейся практикой работы и оценкой коммерческих рисков.

Вертикальная специфика разных отраслей определяется внутренними бизнес-процессами и "внешними" факторами каждой из них. К последним относится, в первую очередь, степень внимания государства и регулирующих государственных органов к вопросам ИБ.

Исторически первым и наиболее сформированным сейчас вертикальным рынком ИБ стали государственные организации. Здесь "владелец" -государство, и оно непосредственно указывает, что, как и каким образом строить, за какие деньги.

Второй вертикальный рынок, который сегодня жестко регулируется государством, - кредитно-финансовые учреждения.

Следующие сегменты, связанные с предоставлением услуг населению, могут представлять угрозу для жизни людей или экономики страны: транспортные предприятия (железная дорога, авиакомпании), а также промышленные предприятия, производство которых может быть отнесено к опасным. Для всех вышеперечисленных отраслей существуют государственные нормы в области ИБ, то есть на них распространяется внешнее регулирование.

Коммерческие же предприятия разрабатывают СИБ (системы информационной безопасности), руководствуясь внутренними мотивами, главным образом, повышением эффективности производства и угрозами бизнесу.

Так, конкурентные угрозы заставляют создавать СИБ те компании, которые занимаются бизнесом на рынке финансов, недвижимости, туристическим сервисом, страховые компании. Их специфика в том, что СИБ, с одной стороны, призвана не позволить эту информацию использовать во вред компании, а с другой - обеспечить максимальную доступность к этой информации для сотрудников.

Для иных предприятий, скажем, промышленных или торговых, такого типового набора требований, характерного сегменту, нет: СИБ строится в основном согласно пожеланиям владельцев бизнеса.

При этом технические возможности, чтобы учесть любые требования (как внешние, так и внутренние), есть. Степень "соответствия" определяется всего лишь доброй волей заказчика и финансированием. Правда, есть одно исключение - требования, связанные с криптографией.

В реальной жизни немало ситуаций, когда государственные организации обязаны применять российские разработки, но они, к сожалению, не всегда соответствуют современным требованиям, поэтому в ряде случаев затруднена их интеграция в ИТ-инфраструкту-ру. Коммерческие предприятия выручает Закон "Об информации, информатизации и информационной безопасности", где сказано, что собственник информации сам определяет, как, какую и каким способом информацию ему защищать.

В части сертификации средств защиты информации (в том числе и обязательной) состояние дел иное. В свое время Гостехкомиссия (сейчас ФСТЭК) создала условия для здоровой конкуренции. И родился достаточно конкурентный, даже по отношению к зарубежным СЗИ, рынок средств ИБ, вполне представительный по количеству продуктов, сертифицированных по линии Гостехкомиссии. Конкуренция же заставила обеспечить достаточно корректную работоспособность продуктов в сетях любого масштаба и состава.

По нашему мнению, в силу специфики своего производства и жизненной значимости для государства, пожалуй, дальше всех ушли в вопросах ИБ энергетики: у них есть собственные отраслевые инструкции и регламенты по ИБ, адаптированные под конкретные нужды, концепция построения СИБ, налицо и прочие признаки зрелости организации в области ИБ. Кроме того, благодаря тому, что в этой отрасли (по сравнению с банковской) люди более технически образованные, ситуация с ИТ в целом и ИБ здесь гораздо лучше.

Существует распространенное мнение, что, например, кредитно-финансовые организации существенно опережают другие отрасли в области информационной безопасности - это не совсем так. Хотя концепцию СИБ имеет большинство банков (без этого ни один банк не смог бы удовлетворить условиям системы страхования) и по суммарным объемам финансирования - они, безусловно, далеко впереди. Но это верно лишь в отношении наиболее крупных из них, если принять во внимание их общее количество, то картина изменится. Ведь банков только в Москве несколько сотен, а из них способных выделять значительные средства для ИБ не более двух-трех десятков. У всех остальных весь бюджет ИТ, вместе с безопасностью, на два порядка меньше. 90% наших банкиров не готовы выделять на безопасность столько же, сколько они тратят, скажем, на "средства производства". Потому и методики построения СИБ или план-проект внедрения существует лишь у небольшого количества банков - таких насчитываются единицы, а остальные решают свои проблемы ИБ методом "остаточного финансирования" и "латания дыр". Даже высший менеджмент некоторых организаций представляет себе всю ИБ как некую расходную статью. Изменить сложившееся мнение сложно.

Если средства И Б не интегрированы в общую ИТ-структуру, создание эффективного решения невозможно. Как правило, система информационной безопасности рождается уже после рождения системы автоматизации предприятия и ИТ-инфраструктуры. Случаев, когда обе системы проектировались одновременно, - единицы. На практике доля компаний, которые внедряют действительно системы, а не просто набор отдельных средств И Б невысока - не более 20%. Чаще всего, запросы не идут дальше firewall и антивируса, а в дополнение к ним разные утилиты без какой-либо целенаправленности. На самом деле информационная безопасность - это не расходная статья, а актив компании. Она дает возможность повысить эффективность, снизить риски, в конечном счете сэкономить значительные ресурсы.

Вместе с тем, надо отметить, на сегодняшний день наблюдается рост внимания к аудиту ИС и ИБ и, в частности, к стандарту ISO 17799. Что же касается сертификации по требованиям стандарта, то в компаниях (уровня "Лукойла" или "Газпрома") используются, безусловно, сертифицированные средства защиты. Но по какому стандарту -собственному ли, ГОСТ или ISO - это вопрос индивидуального выбора. Обязательной по ГОСТ является сертификация СЗИ только для государственных организаций.

Главное в создании "работающей" системы информационной безопасности - наличие у руководства компании сформированного мнения, что ИБ это не "пассив", а "актив" компании. Без этого построение комплексной системы будет маловероятным, а любые стандарты и инструкции если и будут работать, то с большим трудом.