"Наши системы защиты информации отстают от западных на годы"
— Каковы основные угрозы в сфере информационной безопасности, с которыми сталкиваются российские компании? Какие средства для защиты информации наиболее востребованы нашим рынком?
— По нашим оценкам, значительный финансовый ущерб корпоративным информационным системам наносят вирусные атаки. Кроме того, за последние годы значительно возросла опасность неавторизованного доступа к корпоративной информации. Защите от этих и других угроз в основном уделяют внимание сегодня все компании. Хотя, как я считаю, это внимание недостаточно. В частности, компании еще не сумели надлежащим образом оценить фактор влияния на информационную безопасность сотрудников, которые могут как неквалифицированно работать с IT-системами, так и умышленно "сливать" конфиденциальную информацию. Сегодня крупные компании в первую очередь отдают предпочтения комплексным системам информационной безопасности. Эти решения включают в себя все элементы информзащиты: программные средства и оборудование, организационные регламенты, системы по управлению информационной безопасностью. Кроме этого растет спрос на услуги, связанные с анализом информационных рисков, аудитом системы информационной безопасности, разработкой политики безопасности, обучением сотрудников и сервисной поддержкой систем информационной безопасности.
— Каковы затраты крупных российских компаний на системы защиты информации? Сколько стоит компании полностью обезопасить себя?
— Думаю, однозначного ответа на этот вопрос нет. Стоимость создания системы защиты информации зависит от того, какие элементы в нее будут включены, а также от размера защищаемой информационной системы. Чем система масштабнее, тем она сложнее и дороже. В таких системах используются, как правило, более сложные продукты и услуги, которые обходятся клиентам достаточно дорого. Стоимость создания комплексной системы информационной безопасности для крупных компаний может достигать $10 млн. Но для компаний и организаций, где сохранность информации является ключевым фактором для функционирования бизнеса — банков, аудиторских и страховых компаний, к примеру, эти затраты неизбежны.
— Насколько российские разработки в сфере информбезопасности конкурентоспособны на мировом рынке? Могут ли они, на ваш взгляд, стать существенной статьей дохода в структуре российского IT-экспорта?
— Честно сказать, российские разработки в сфере информационной безопасности значительно отстают от аналогичных западных продуктов. За редкими исключениями они в ближайшие годы вряд ли могут стать конкурентоспособными на мировом рынке. Я думаю, что сейчас российским производителям лучше сконцентрироваться на внутреннем рынке. Это перспективнее, поскольку российское законодательство значительно ограничивает применение иностранных систем безопасности, в первую очередь в госструктурах.
В перспективе, конечно, российские продукты в области защиты информации могут быть востребованы на международных рынках. Но без поддержки государства на международном уровне, без лоббизма в хорошем смысле слова стать транснациональными российским компаниям, работающим в сфере информационной безопасности, вряд ли удастся.
— Насколько реально внедрение современных систем информационной безопасности силами компаний-заказчиков? Возможно ли массовое привлечение к созданию таких систем сторонних компаний, как это происходит на Западе?
— Построение систем информационной безопасности силами внешних специализированных компаний — наиболее правильный подход. Строительство таких систем — задача дорогая, сложная, требующая участия очень квалифицированного персонала, которого, как правило, у заказчика нет. Однако в России своя специфика — аутсорсинг в сфере информационной безопасности у нас не приветствуется, поскольку заказчики опасаются утечки конфиденциальной информации. Поэтому пока я не встречал компаний, которые отдавали бы полностью проекты построения и поддержки системы безопасности в чужие руки.
На аутсорсинг сегодня чаще всего отдают проведение регулярных аудитов систем защиты информации, установку специализированного софта или оборудования, иногда — управление системой сетевой безопасности. Бывает, что внешние специалисты принимают участие в расследовании инцидентов, связанных с нарушениями информационной безопасности. Наиболее эффективный подход, который уже используют ряд российских компаний, сочетает в себе использование ресурсов собственной службы безопасности в сочетании с аутсорсингом в решении отдельных задач.
— Участники рынка часто жалуются, что в России не существует единых стандартов построения систем информационной безопасности. Насколько, на ваш взгляд, необходимо создание таких стандартов? Должны ли они быть закреплены на государственном уровне?
— Ну, я бы не сказал, что таких стандартов не существует совсем. Сегодня в РФ регламентируется защита сведений, составляющих государственную тайну, а также защита конфиденциальной информации, в том числе персональных данных. Для сведений, составляющих государственную тайну, существуют нормативные документы ФСТЭК (Федеральной службы по техническому и экспортному контролю) и ФСБ России, устанавливающие порядок применения средств защиты информации. В свою очередь, для защиты конфиденциальной информации в коммерческих компаниях стандарты сейчас устанавливают сами собственники этой информации.
Я считаю, что государство, несомненно, должно определить стандарты информационной безопасности. Более того, одно время планировалось разработать подобный стандарт на базе международного стандарта ISO 27001. Это методология, которая используется сейчас во всем мире и досконально описывает критерии безопасности информационных систем и принципы их применения.
Государство, по моему мнению, не должно регламентировать использование конкретных систем и продуктов. Стандартизация в сфере информационных технологий, и не только систем информационной безопасности, вообще больной вопрос отрасли. Необходимость подобной деятельности давно обсуждается, но, к сожалению, серьезных подвижек здесь нет. Впрочем, такая проблема актуальна не только для нашей страны.