Обзор Средства защиты информации и бизнеса 2010 Евгений Акимов: На рынке ИБ изменилась структура предложения и состав игроков На вопросы CNews ответил заместитель директора центра информационной безопасности компании «Инфосистемы Джет» Евгений Акимов. CNews: Как повлияло изменение экономической ситуации на развитие рынка ИБ в России? Как в этой связи были скорректированы стратегии поставщиков – по вашим наблюдениям? Евгений Акимов: Два последних года радикально изменили рынок информационной безопасности. 2009 год - по очевидным причинам - прошел под девизом тотального сокращения расходов. При этом бюджеты на ИБ перешли из разряда «выделяемых» в разряд «получаемых по бизнесобоснованию» с условием короткого срока для достижения очевидного для бизнеса эффекта. Поэтому в течение этого непростого для игроков рынка года были востребованы проекты, от которых просто нельзя было отказаться. Прежде всего, к ним можно отнести те, что направлены на удовлетворением требований регуляторов. Стартовало огромное количество проектов, связанных с законом о персональных данных и требованиями стандарта PCI DSS. Популярностью также пользовались сравнительно недорогие решения (например, DLP), необходимость которых можно достаточно наглядно обосновать бизнес-руководству. В то же время произошло сильное падение традиционных направлений – поставок ПО и оборудования по сетевой, антивирусной безопасности и пр. Наиболее гибкие и бизнес-ориентированные интеграторы смогли перестроить структуру своих предложений на рынке. Они стали активнее продвигать средства для решения самых актуальных задач и научились обосновывать их необходимость бизнесу. Это позволило интеграторам на фоне общего падения рынка если не сохранить объем своего бизнеса, то по крайней мере удержать имеющуюся рыночную долю, а в ряде ситуаций и расширить ее. В 2010 году ситуация не вернулась на докризисный уровень: топ-менеджмент, привыкший оценивать бизнес-эффект от решений по ИБ, по-прежнему требует прозрачности в данном вопросе. Несмотря на общее увеличение затрат на информационную безопасность и возросшие сроки возврата инвестиций, те решения, которые не получили качественного обоснования в каждом конкретном случае, не внедряются. В результате практически полностью оправдались прогнозы двухлетней давности: рынок ИБ стал совершенно другим. Изменилась как структура предложений, так и состав игроков – особенно нишевых. Лидеры остались теми же, но среди них произошла ротация. CNews: Ощущаете ли вы какое-нибудь изменение настроений на рынке в связи с подготовкой к ФЗ-152? Как можно оценить готовность поставщиков в этой связи? Евгений Акимов: Сейчас на рынке проектов, связанных с этим законом, происходит переход от первоначальных консалтинговых этапов к поставке и внедрению средств защиты. При этом большинство проектов (около 90%) выполняются по типу «блицкриг» – только формальное соответствие требованиям регулятора за минимальные сроки и деньги. Но именно в этот период у операторов персональных данных есть уникальная возможность существенно увеличить пользу от проектов по защите персональных данных – построить реально работающую систему защиты, а в ряде ситуаций решить и другие проблемы ИБ. Например, усилить защищенность коммерческой тайны. Такой результат достигается грамотным применением более эффективных интегрируемых и масштабируемых средств защиты (как правило, это решения мировых вендоров). Стоит отметить, что при правильном подходе такие изменения не сильно сказываются на стоимости проекта. Более того, в долгосрочной перспективе они оборачиваются существенной экономией сил и средств: ничего больше не придется переделывать. В настоящий момент подобные проекты реализуют очень немногие интеграторы, в их числе и компания «Инфосистемы Джет». Отрадно, что ряд вендоров, например, StoneSoft, также популяризируют такой подход. CNews: Какие тенденции в сфере защиты информации видятся вам в настоящий момент определяющими – в мире и в России? Евгений Акимов: Можно отметить несколько тенденций, характерных как для общемирового рынка ИБ, так и для российского. Хотя некоторые из этих трендов на отечественном рынке проявляются с традиционной задержкой в пару лет. Прежде всего, это технологические тенденции, обусловленные развитием информационных технологий и широкомасштабным внедрением ИТ-систем с ранее не применяемыми архитектурами. Поскольку они несут в себе новые уязвимости, возникающие риски требуют применения специальных механизмов защиты. В этом отношении особенно показательны проблемы защиты трехзвенной архитектуры бизнес-приложений и обеспечения ИБ виртуальных структур. Для защиты бизнес-приложений уже найдено эффективное «противоядие»: это использование специализированных средств мониторинга активности баз данных - DAM (Database Activity Monitoring) в интеграции с межсетевыми экранами веб-уровня - WAF (Web Application Firewall). В случае с виртуальными структурами первые технологии защиты еще только появляются, и их эффективность пока вызывает у экспертов сомнения. Кроме того, на рынке наблюдается процесс постепенного перехода компаний от стратегии наращивания средств защиты информации (СЗИ) к созданию систем управления этими средствами, а также инцидентами и уязвимостями ИБ. Такой подход существенно повышает эффективность уже имеющихся СЗИ, способствует сохранению инвестиций, усиливает общую защищенность информационной системы и снижает потери от реализаций угроз ИБ. Подобное решение (Security Operation Center) является организационно-техническим и включает построение процессов управления инцидентами, уязвимостями, конфигурациями, а также средства автоматизации этих процессов. В их числе - технологии класса SIM (Security Information Manager), а также интегрируемые с ними системы, например, DLP и уже упоминавшаяся DAM. Следующий вектор развития рынка принято считать, скорее, организационным. В первую очередь, это отраслевая стандартизация в сфере ИБ. В мире этот подход считается уже достаточно устоявшимся в технической области. Его логическим продолжением является появление стандартов менеджмента ИБ серии 2700Х. Применительно к России это, прежде всего, СТО БР ИББС, ставший стандартом де-факто для банковской отрасли (хотя его статус формально и остался рекомендательным). Кроме того, ведется активная разработка стандарта для телекоммуникационных компаний. В ближайшее время ожидается старт аналогичных разработок для страховых компаний, обсуждается возможность создания отраслевого стандарта по ИБ и для промышленных холдингов. Еще одной значимой тенденцией, о которой хотелось бы упомянуть, является «сращивание» экономической и информационной безопасности. В результате внедрения систем класса CRM, ERP и т.п., были автоматизированы критичные бизнес-процессы, поэтому борьба с экономическими преступлениями перенеслась и в виртуальное пространство. Системы класса FM/RA (Fraud Management/Revenue Assurance), ставшие нормой для операторов связи, активно внедряются в банковской отрасли, стартовали первые пилотные проекты на предприятиях ТЭК, а решения по управлению полномочиями (Role Management) и разделению самых критичных бизнес-ролей (Segregation of Dutes) будут широко востребованы в самое ближайшее время. CNews: Какие изменения произошли в вашем бизнесе по направлению защиты информации за последний год? Евгений Акимов: В течение нескольких последних лет компания «Инфосистемы Джет» целенаправленно движется к увеличению своего присутствия на рынке ИБ, прежде всего - в коммерческом секторе. Для реализации этой задачи мы получаем и развиваем компетенции в области новейших технологий в сфере ИБ. Нам удалось существенно улучшить внутренние бизнес-процессы как в части преддоговорной работы, так и в ходе реализации проектов. В период экономических потрясений это сослужило нам хорошую службу - мы практически не уменьшили объем своего бизнеса в самый тяжелый 2009 год. А поскольку весь рынок «упал» на десятки процентов, в реальности это означает существенное расширение нашей рыночной доли. К осени 2010 года мы уже превысили объем проектов, сделанных за весь предыдущий год, и ожидаем существенного роста количества выполненных проектов по итогам года. Изменения в структуре нашего бизнеса в части ИБ естественным образом отвечают современным тенденциям в этой сфере. Вот уже второй год мы отмечаем активный рост спроса на средства и системы ИБ, дающие очевидный и достаточно быстрый результат. Например, системы контентной фильтрации и DLP. Мы наращиваем компетенции по этим направлениям, расширяем сотрудничество с вендорами и развиваем собственный продукт – «Дозор-Джет». В условиях, когда заказчики стремятся оптимизировать существующие системы ИБ и операционные затраты, свою актуальность демонстрируют системы мониторинга и оперативного управления ИБ (SOC) и системы управления полномочиями пользователей (IdM). Несмотря на довольно высокую стоимость, они окупаются в разумные сроки. Кроме того, в последние два года активное развитие получают направления по борьбе с мошенничеством и гарантированию доходов, поскольку они позволяют вернуть компаниям недополученные доходы. На сегодня мы имеем несколько проектов по противодействию мошенничеству в разных отраслях – телекомы, финансы, нефтяные компании. CNews: Какие из своих проектов в сфере ИБ за последнее время вы могли бы выделить особо? Евгений Акимов: За прошедший год мы выполнили целый ряд значимых комплексных проектов. И даже в такой области, как закон о персональных данных, где, как иногда представляется, реализуются преимущественно типовые проекты, нам есть что отметить. Один из примеров – недавно завершенный проект в страховой компании – крупнейшем коммерческом операторе ПД по объему и качественным характеристикам обрабатываемых данных. В течение года работы над данным проектом нам удалось сделать акцент не на формальном соответствии требованиям регуляторов, а на обеспечении реальной защищенности персональных данных и другой конфиденциальной информации. Мы применили ряд инновационных и «тонких» подходов к удовлетворению требований регуляторов и минимизации расходов заказчика. По результатам проверки ФСТЭК было вынесено положительное заключение по всем основным пунктам наших решений. Особенность проектов, связанных с законом о персональных данных в страховой отрасли, состоит в том, что они фактически закладывают фундамент комплексной системы информационной безопасности. Поэтому мы видим, что наши наработки могут быть очень полезны и для других крупных страховщиков. Накопленный нашей компанией опыт в области защиты персональных данных (более 70 проектов) открывает для нас еще одну область деятельности, которая сегодня набирает обороты – экспертиза технических проектов (Quality Assurance, гарантирование качества). В этом году к нам несколько раз обращались крупные операторы персональных данных (в том числе - телекоммуникационные компании и ритейлеры) с просьбой проверить технические решения, предложенные другими консультантами. К сожалению, не всегда качество проработки этих решений было на высоте. В ряде ситуаций нам приходилось менять архитектуру решения, а где-то мы даже сталкивались с завышением классов ИСПДн. В связи с этим хотелось бы еще раз подчеркнуть важность подобных проектов. Отношение к ним как к некой «заплатке», которую можно «прилепить и забыть», приводит к превращению ИБсистемы организации в «зоопарк» средств защиты и даже к неработоспособности бизнесприложений. Тут важно выбрать не узкоспециализированного ИБ-консультанта, а опытного интегратора, который разработает документацию, внедрит спроектированные средства защиты, а при необходимости будет вести дальнейшее сопровождение решения, вплоть до аттестации по требованиям регуляторов. CNews: Спасибо.