Пришло время оценивать риски

Проблемы надежности

Сейчас много говорят и пишут о надежности. Однако в сфере ИБ системных исследований надежности в принципе мало, а определение критериев и комплексной оценки качества СЗИ пока не проводилось, во всяком случае, результатов таких исследований в открытых источниках найти невозможно. Несмотря на это, почти каждый разработчик пишет в своих рекламных буклетах "у нас самое надежное решение".

Из множества определений надежности выделим самое весомое: надежность – это качество, развернутое во времени. Это касается не только самих СЗИ. Надежность компании–разработчика также является весьма важной характеристикой при выборе решений, однако заказчика интересует, в первую очередь, не столько разработчик, сколько качество самого продукта. Заметим, что далеко не все СЗИ имеют проверенные надежностные характеристики. Что имеется в виду? Оценки надежности и безопасности СЗИ также следует исследовать, начиная с оценки рисков. Оценки надежности позволяют определить вероятность и своевременность выполнения функций безопасности СЗИ, коэффициент готовности, ремонтопригодность, среднее время простоя и т.д. На открытом рынке средств ИБ в исследовании надежности делаются только первые робкие и пока неуверенные шаги. Но за этим – будущее отрасли. Выбор разработчика и системы СЗИ в недалеком будущем также будет выполняться с позиций анализа рисков.

Проблемы импортозамещения

Не все так просто. В результате пресловутой приватизации и последовавшего развала значительной части отечественных промышленных предприятий мы потеряли темпы развития микроэлектроники. Восстановить быстро и подняться на достойное место в мире вряд ли удастся в короткие сроки. Наши попытки выбиться в мировые лидеры по производству системного программного обеспечения также должны пройти определенные этапы развития, включая шишки, которые набивают все. Поэтому позволю себе ввести термин "мягкое импортозамещение", к которому постепенно приходят многие разумные головы. В чем суть этого термина? Не секрет, что даже в военной отрасли изделия делаются с применением импортных комплектующих. Подобно этому, российские разработчики собирают из кубиков (своих и чужих) свои решения. Только чужие "кубики" не обязательно должны быть американского производства. В Юго-Восточной Азии и ряде других стран производят примерно такие же "кубики", которые можно и нужно проверять перед применением в тех или иных решениях.

Перспективные технологии

Задумывался ли кто-нибудь над вопросом "какую технологию считать перспективной"? Принято увязывать понятие перспективной технологии прежде всего с ее новизной и повышением универсальности использования, или, как модно сейчас говорить, инновационностью. Существуют ли критерии, по которым те или иные "инновационные" решения действительно можно отнести к перспективным? Например, считается ли технология перспективной только потому, что она, как сотовая связь, может послужить еще, как минимум, 10–15 лет? По такому критерию можно отобрать свыше десятка технологий. В полной мере это относится и к рынку ИБ. Аналитика рынка СЗИ пока не развита. Обзоры (пример – Исследование "Рынок информационной безопасности Российской Федерации" + Обзор рынка информационной безопасности Украины, 2013 г.) появляются редко. Пока к опубликованным обзорам не всегда возникает чувство объективности и доверия. По итогам размышлений можно дать простой совет: и в данном случае выбор может основываться на анализе рисков, во всяком случае, такой совет не повредит правильному выбору.